Veracode中文网站 > 热门推荐 > Veracode沙箱扫描怎么使用 Veracode沙箱结果和正式基线怎么区分
教程中心分类
最新资讯
使用教程
热门推荐
新手入门
Veracode沙箱扫描怎么使用 Veracode沙箱结果和正式基线怎么区分
发布时间:2026/06/01 13:18:23

  在使用Veracode的时候,沙箱扫描主要就是给开发分支、自己测一下、验证修复结果,还有在正式发版之前做个预检查,这些场景来用的,它可不是要去取代正式扫描,而是让团队在代码进入正式的基线评估之前,能先有个地方,把问题给看一看。

  一、沙箱扫描要怎么用

 

  想要用这个沙箱扫描,得先进到对应的那个应用配置里面去,沙箱这个东西,它是挂在一个已经存在的应用下面的,可不太建议,为了一条临时的分支,就随随便便地去新建一个正式的应用,要不然的话,到了后面去做统计,还有问题怎么继承,这些事就会变得很乱。

 

  1、去创建一个沙箱

 

  在应用的页面里面,去找到跟沙箱有关的那个入口,去建一个新的沙箱出来,给它起一个名字,要能让人一眼就看明白它是干嘛用的,就比如,开发分支用的、发版前检查用的、还是验证修复用的,可千万不要就只写一个测试上去,不然的话,后面好几个扫描的结果混到一块儿,是很难去查的。

 

  2、把构建好的包给传上去,然后启动扫描

 

  进到那个沙箱里面,去把这一次构建出来的产物给上传上去,等着它把预扫描给跑完了,然后去确认一下,所有的模块都没有报错,再动手去启动正式的分析,你传上去的这个东西,要尽量跟完整的应用差不多才行,Veracode那边也提醒过,要是把不同的组件,分开放在不同的沙箱里面去扫,那是会影响到后面,把这个结果提升成正式扫描,还有去看进度统计的效果的。

 

  3、去查看一下都有哪些缺陷,然后去修它

 

  等到扫描跑完了,就去看看,新冒出来了哪些缺陷、都是什么严重级别的、对应的是哪一种缺陷分类,还有是在哪个文件的什么位置上,等修完了以后,是可以继续在这同一个沙箱里面,再去重新扫一次,用来验证一下,那个问题是不是真的已经被关掉了,这个时候,就不要每一次,都去新建一个沙箱了。

 

  二、沙箱的结果和正式的基线要怎么区分

 

  沙箱扫出来的结果,跟正式基线扫描的结果,它们最根本的一个区别,就在于这个结果,到底会不会被算进策略的合规、正式的评分,还有生产版本的指标里面去,按照Veracode文档的说明,沙箱扫描跑完了以后,它的策略合规状态,是会显示成一种有条件通过的状态的;而且,沙箱扫描,它是不被算进像扫描频率这一类,跟活动有关的策略规则里面去的。

 

  1、去看扫描的类型

 

  在扫描的记录,或者是报表的那些个字段里面,一般是可以分得出来,这到底是正式的基线扫描,还是沙箱扫描,正式的基线扫描,就是那种会被拿去算策略的东西;而沙箱扫描,只是开发阶段用的,在评审、合规审查,还有拿给客户看的那些材料里面,可千万不能把沙箱的结果,直接就当成是正式基线的结论来用。

  2、去看它对合规的影响

 

  正式的基线扫描,是会影响到这个应用在策略上的合规状态、安全的评分、缺陷变化的趋势,还有那些管理用的报表的,沙箱呢,它主要就是用来提前去发现问题的,它扫出来的结果,不会一下子就把你正式应用的状态给拉低,它是可以把那些藏着的风险给暴露出来,但这可不等于,你已经走完了那个正式的安全门禁。

 

  3、去看它有没有被提升过

 

  要是沙箱扫描出来的结果,已经能满足要求了,那就可以去执行那个提升的操作,把这个沙箱扫描,给提升成一次正式的基线扫描,等提升完了以后,这一次的扫描结果,就会被算进策略合规的评分里面去了,在动手提升之前,要先去确认好,你传上去的是一个完整的应用模块,可不要把一个不完整的构建包,拿来当成是正式的结论了。

 

  4、去看历史对比的那个口径

 

  在同一个沙箱里面,是可以拿它好几次的扫描结果,互相去比较的;但是呢,文档里有提示过,在沙箱被提升成正式扫描了以后,就没办法再去看,沙箱和正式扫描之间,模块上到底有哪些变化了,所以,在你要做发版记录的时候,最好是提前就把那些关键的扫描名称、扫描的时间,还有对应的版本号,都给保存下来。

 

  三、沙箱的结果要怎么管理

 

  沙箱扫出来的结果,是要拿来帮着开发去做修复的,可不要到最后,变成了一堆没人管的临时记录,扔在那里就不看了。

 

  1、要让它有个固定的用途

 

  一个沙箱,最好是就对应着一根分支,或者是一个专门用来验证发版的场景,不要把修完bug之后的验证、平日的开发检查,还有正式发版前的那种预检查,全都给搅和到一块儿去,不然的话,缺陷到底是怎么变动的,就很难解释得清楚了。

 

  2、要把缺陷处理的状态,给同步起来

 

  Veracode它会在同一个应用底下的沙箱扫描和正式扫描之间,去匹配那些缺陷,并且,会把已经被标记过的缓解信息给保留下来,所以,在你去处理缺陷的时候,要去留意一下,那些缓解的状态、修复的状态,跟正式扫描的记录之间,是不是都能对应得上。

 

  3、在准备提升之前,要去做一次完整性的检查

 

  当你打算把一个沙箱的结果,给提升成正式基线的时候,先要去确认一下,你的构建包是完整的、模块那边没有报错、关键的缺陷都已经被处理掉了、还有那些缓解的说明,也都是经过确认的,不要只是因为,看到沙箱扫出来的结果里面,风险好像挺少的,就急着去把它给提升了。

  总结

 

  关于Veracode的沙箱扫描要怎么去用,还有它扫出来的结果,跟正式的基线又要怎么样去区分,这里面的关键,就是把用途,给它分得清清楚楚,沙箱,就是用在开发的那个阶段,让你去试着扫一扫、验证一下修复,还有提前去看看风险的地方;而正式的基线扫描,才是用在策略的合规、评分,还有最后交付的那个口径上的,沙箱的结果,是可以被提升成正式扫描的,但是在提升之前,一定得去确认好,应用的那个包是完整的、该处理的问题都处理好了、所有的记录也都是可以被追溯的。

135 2431 0251