Page tree
Skip to end of metadata
Go to start of metadata

本页面:

目标用户:

  • 信息的使用者 (即将使用工程仪表盘的用户)
  • CAST AI 管理员

摘要: 此页提供了使用工程仪表盘的说明, 即如何登录、有哪些可用信息等。

本文档部分提供以下信息:

  • 如何连接并登录工程仪表盘
  • 仪表盘中显示哪些信息
  • 仪表盘界面的简单说明

如果需要了解更多信息:

访问工程仪表盘

要连接到工程仪表盘,请浏览访问CAST管理员提供给的URL。 通常采用以下格式:

http://<server>:[<port>]/CAST-Engineering

将显示登录页面:

简单的 URL 机制

如果已经知道要在工程仪表盘中访问的应用名称, 则可以使用以下 URL 格式直接转到给定应用的最新快照。请注意<application_name>是区分大小写的:

http://<server>:[<port>]/CAST-Engineering/engineering/index.html#applications/<application_name>

登录工程仪表盘

要登录健康仪表盘,需要输入用户名和密码,然后单击“登录”按钮。

根据CAST AI管理员配置的身份验证模式(有关详细信息,请参阅安装和配置工程仪表盘),需要使用预先提供的用户名和密码或公司用户名和密码登录。 如有疑问,请联系CAST AI管理员。

如果由于任何原因用户无法访问健康仪表盘(他们没有登录或他们忘记了密码),则可以配置“无法访问”链接以显示在仪表盘登录页面上。请参见 HD-ED - 丢失密码和请求访问配置 获取更多信息。

无法登录

本节介绍了可能无法登录仪表盘的一些原因:


请注意,登录时显示的消息可以根据您自己组织的需要进行定制。请参见 HD-ED - 修改登录错误提示消息 获取更多信息。

未授权

如果无权查看运行状况仪表盘中的任何数据,则在登录时将显示如下消息,并且不允许进一步使用仪表盘:


请注意,数据授权说明参见 安装和配置健康仪表盘

无许可证

如果在未配置许可证密钥时尝试登录工程仪表盘, 将显示以下消息:

多个应用或单个应用?

登录时, 根据可用应用的数量, 行为略有不同:

应用数量行为
单个应用

将直接转到应用登录页:

多个应用

选择要访问的应用:

选择应用后, 将跳转到所选应用的主页 (如上所示)。如果未被授权访问所选应用, 将显示 "您无权访问任何应用" 消息。

如果要切换选择不同的应用, 可以使用菜单栏上的下拉列表框:

如果找不到所需的应用, 则可以使用搜索字段搜索应用-搜索是即时的-输入单个字符将启动搜索机制:

只要相关联, 加载图标显示时数据可能需要一些时间来处理和/或显示。

“This software is subject to a limited access” 消息

如果在登录时, 工程仪表盘中的每个页面上都显示以下消息, 则应与 CAST 管理员联系, 请求更新许可证:

可以单击 "CAST Project Manager" 文本上的链接 (上图中的下划线) 与管理员联系。这样做将在默认电子邮件客户端中打开一封电子邮件, 请求更新许可证。

工程仪表盘接口

本节简要介绍了可供使用的界面显示选项。

请注意, CAST AI 管理员可以配置开箱即用的图块。有关详细信息, 请参见  ED - 图块管理

应用登录页或主页

登录后将显示应用登录页或主页:

它由多个图块组成, 用于显示所选应用的最新快照数据和信息:

质量模块图块

此默认图块显示有关当前应用状态的违规信息:

  • 应用的全部违规或关键违规次数 (显示取决于是否启用只显示严重违反还是所有违规选项) (参见 关键违规数据筛选)
  • 应用在分析/快照期间触发的规则数(此图包括默认的CAST AIP规则和ID大于1,000,000的自定义规则)
  • 应用在分析/快照期间触发的关键规则的数量

单击此图块将直接跳转到风险调查视图 (也可以点击侧边栏的  按钮跳转)。

Application Components(应用组件) 图块

该图块默认显示了当前应用的违规状态信息:

  • 应用中出现的模块数量(可以在分析期间配置模块,以便将应用划分为有意义的组)
  • 应用的代码行数
  • 当前应用中包含至少一个违规对象的总数(显示取决于是否启用只显示严重违反还是所有违规选项(参见 关键违规数据筛选))
  • 当前应用的违规或关键违规的总数 -- 也就是说,应用中对象违反规则或关键规则的总次数(显示取决于是否启用只显示严重违反还是所有违规选项(参见 关键违规数据筛选))
  • 当前应用中已违反的规则总数 (显示取决于是否启用只显示严重违反还是所有违规选项(参见 关键违规数据筛选))

单击此图块将直接跳转到应用调查视图(也可以点击侧边栏的  按钮跳转)。

Top Riskiest Transactions (高风险事务)图块

为健壮性健康度量提供了“开箱即用”的高风险事务图块:

该图块提供了一个可点击“云”事务的名字——更大的和更大胆的字体用于显示事务名称,高一些的TRI值(TRI或事务风险指数表明了事务的风险程度)具有特定的健康度量指标(例如健壮性、效率和安全性)。健壮性被设置为默认的健康状况度量指标,但是可以使用下拉箭头在图块中切换不同在度量指标。

单击图块中的事务名称将直接转到事务调查视图中的父健康度量(点击侧边栏的  按钮访问):

最高风险组件

为安全健康措施提供“开箱即用”的“最高风险组件”图块:

这个图块提供了一个可单击的对象名称“云”——用于显示名称的字体越大、越粗,对象在指定的健康度量(例如安全性或效率)内的风险值(以前称为PRI: Propagated Risk Index)就越大。有关如何计算风险的更多信息,请参见此表

在图块中单击对象名称将直接进入应用调查视图中的对象—例如,单击execSQL对象将显示如下内容(单击放大):

具有违规或严重违规的模块图块

TQI (Total Quality Index)健康度量提供了一个“具有违规的模块排序”图块,它是“开箱即用”的(单击健康度量名称旁边的下拉箭头可以切换健康度量类型):

此图块 提供了按每个模块中出现的关键违规次数排序的模块列表。可以调整图块大小来显示更多或更少的模块。单击tile中的模块将直接进入应用调查视图中的模块。在应用调查视图中,违规规则按违规次数列出,关键规则优先(默认:按违规次数排序):

请注意,根据是否显示关键违规或全部违规(请参阅关键违规数据过滤器),内容将反映当前启用的过滤器,相应地只显示关键违规或全部违规。

健康度量缺陷/优势图块

两个图块列出了一个给定健康度量的优点和缺点,按技术标准列出:

请注意,根据是否显示关键违规或全部违规(请参阅关键违规数据过滤器),内容将反映当前启用的过滤器,相应地只显示关键违规或全部违规。

这些图块提供

  • 缺点:显示的条目是至少包含一个严重违规的技术标准。技术标准从最差(顶部)到最差(底部)进行排序。
  • 优势: 显示项是不包含任何关键违规的技术标准(这包括没有关键规则的技术标准或没有任何违规的包含关键规则的技术标准)。

默认情况下,鲁棒性健康度量在两个图块中都会显示,但是,你可以使用下拉列表在每个图块中切换为一个不同的健康度量:

点击图块中的技术标准将直接进入风险调查视图中的技术标准: 

行动计划图块

将显示一个默认的行动计划图块,最初显示自生成最近一次快照后添加到行动计划列表中的对象总数。单击图块将直接进入行动计划

可以手动调整这个图块的大小(拖放图块的角或边),以包含关于暂停和已解决项的更多信息(有关暂停和已解决统计信息的更多信息,请参阅行动计划):

排除项图块

默认的排除项图块显示如下:

  • Active Exclusions > 显示已添加到排除列表并生成后续快照的违规数量(因此违规不是当前快照结果的一部分) – 即它们当前被排除了。
  • Scheduled Exclusions > 显示已添加到排除列表且尚未生成快照的违规数量(因此违规仍然构成当前快照结果的一部分)。当生成快照时,此列表中的排除项将移动到当前排除列表中。

点击图块会进入相关的排除项页面, 参见 工程仪表盘 - Exclusions(排除) 了解更多信息。

Default tile:

违规数增加/减少最多的规则

TQI(整体质量指数)健康度量提供了“开箱即用”的“违规增加最多的规则”和“违规减少最多的规则”:

这些图块显示了一个规则列表和一个值,如下所示:

  • 违规次数不断增加的排行靠前的规则:该值表示最近快照和前一个快照之间规则违反次数的差异(增加)。值越高,差异越大,也就是说,自上一个快照以来,列表顶部列出的规则有更多的违规行为。
  • 违规次数减少靠前的规则:该值表示最近快照与前一个快照之间规则违反次数的差异(减少)。值越高,差异越大,即列表顶部列出的规则与前一个快照相比违反的情况越少。

违规计数差显示在规则的右侧,当规则为关键规则时,会出现一个红点显示。单击规则将直接跳转到风险调查视图中的规则。

注意,仪表盘中的默认行为是只显示关键违规(请参阅关键违规数据过滤器)——因此,此块中的显示将反映这一点,并且只显示关键违规(带有红点)。如果禁用默认过滤器以显示所有违规,那么图块将显示关键违规和非关键违规。

引入的风险

默认情况下,该图块显示了整体质量指数(TQI)健康度量的两个值:

  • Added Critical Violations or Violations > 在当前快照中引入的关键违规或违规(即风险)次数
  • Removed Critical Violations or Violations > 从当前快照中删除的关键违规或违规数量

值是前一个快照和当前快照之间的比较结果,因此,如果这是第一个快照,那么将显示为已添加的关键违规或违规,但不会显示已删除的关键违规或违规。还可以通过单击健康度量名称旁边的下拉箭头来更改健康度量。如果快照中没有添加或删除关键违规或违规,则图块将不会显示数据,也无法点击:

注意,仪表盘中的默认行为是只显示关键违规(请参阅关键违规数据过滤器)——因此,此块中的显示将反映这一点,并且只显示关键违规(带有红点)。如果禁用默认过滤器以显示所有违规,那么图块将显示关键违规和非关键违规。

单击图块时的行为

直接点击图块将跳转到风险调查视图的健康度量(参见工程仪表盘 了解更多信息),然而,风险调查视图只会显示已经添加和删除的违规信息。任何的健康度量、技术标准或规则,如果添加和/或删除的违规数量为0,将不可见。如下的消息将反映这一点:

配置登录页或主页

如前所述,登录页面或主页包含一组“默认”图块,这些图块是“开箱即用”的。仪表盘管理员可能会为默认图块配置额外的图块或自定义图块(参见ED - 图块管理),用户拥有一定的自由来设置主页:

  • 所有图块(自定义和默认)都可以通过拖放移动到新位置。
  • 有些图块可以通过拖放图块的右下角来调整大小。当配置图块(不管是自定义的还是默认的)时,它们包含了在水平轴和垂直轴上指定它们的最大和最小大小的信息——也就是说,您可能会发现某些图块不会按照您的意愿调整大小——这取决于设计。

保存更改

对图块的位置或大小所做的更改将通过cookie保存,因此在使用同一浏览器的连续会话中,图块的位置和大小将被保留。在同一工作站上使用不同的浏览器将不会保留对图块的更改设置。

重置主页

如果想重置图块的位置和大小,由于它们“开箱即用”,则可以使用位于右上角的重置主页选项:

添加图块为书签/收藏夹

如果希望通过登录/主页中的图块来监视应用中的特定规则(可能是具有多重违规的关键规则),可以通过添加“书签”或“收藏”图块来实现这一点,这些图块会链接到相关条目。操作如下:

  • 定位要监视的条目。在本例中,我们选择了一个具有大量违规行为的关键规则。
    • 确保选中该条目,然后单击星号图标(下图高亮显示),将该条目作为书签或收藏夹添加到登录/主页上:

  • 将会有一个通知消息提示已经添加图块:

  • 现在可以在登陆/主页中看到该图块。无论规则是否重要将会显示违规次数,以及在适用的情况下,会显示一个演进百分比,表示规则的违规次数在当前快照和以前快照之间的演进情况:

提示:

  • 只能为规则创建书签/收藏项。任何其他类型的条目(业务标准、技术标准、分布和度量)都不包含在此特性中。
  • 很容易识别书签/收藏图块,因为它们的右上角有一个星形图标。
  • 这些图块可以像任何其他自定义/默认图块一样调整大小和移动。
  • 可以通过移动鼠标到图块右上角的星型图标上来移除图块 -- 星型图标将转换为十字形当单击时,将移除图块。然后会有消息提示已删除图块。
  • 书签/收藏图块在浏览器会话之间是持久的,但特定于浏览器。换句话说,书签/收藏图块只在创建它们的浏览器中可见(假设自图块创建以来浏览器缓存/cookie没有被清空)。

修改颜色

在登录或主页显示的每个图块有一个预定义的颜色,图块颜色可在. json(参见ED - 图块管理)中配置。但是,也可以在浏览器中更改:

  • 单击任何图块右上角的配置图标,然后选择所需的颜色。

  • 更新后的图块颜色存储在浏览器缓存中,因此:
    • 所选图块颜色将保留直到缓存清空。
    • 所选的颜色是特定于浏览器的,因此其他仪表盘用户不会看到新颜色
  • 重置主页 将重置图块颜色为默认颜色。

修改仪表盘的显示语言

默认情况下,工程仪表盘的语言显示设置为英语:仪表盘中显示的所有消息和文本都以英语显示。但是,可以选择一个特定的区域语言和已提供的默认英文文本和信息的翻译版本。因此,单击“用户”菜单下拉菜单,并选择“更改语言”选项:

将出现一个窗口允许选择所需的语言 -- 选择所需语言,然后单击CHANGE(更改):

然后,仪表盘将重置,文本项将以所选语言显示。下面的例子表明,已经配置中文显示(参见 HD-ED - 仪表盘本地化):

请注意:

  • 更改是特定于浏览器的,并存储在缓存中。因此,如果缓存被清空,语言将重置为默认值。 参见 HD-ED - 仪表盘本地化.
  • 只有那些已定义了的语言才会在下拉列表中可用。

顶部菜单栏

每一编号条目的说明如下:

条目名称说明
1应用选择此选项允许您选择要查看的应用。将显示一个下拉列表框,使您能够选择所需的应用。请注意,只有授权您查看的应用才可供选择。
2快照说明显示有关正在查看的当前快照数据的信息:名称、版本、日期。
3快照选择

此选项允许您选择要调查的特定快照——如果当前应用有多个快照可用的话。这允许您“回到过去”并调查来自以前快照的数据。注意,并非所有数据都可用于以前的快照。有关更多信息,请参见快照

4共享数据

单击此图标将使用系统中默认电子邮件客户端中创建一个新的电子邮件,以及邮件内容将包含指向仪表盘当前位置的链接。因此,可以使用该选项与同事共享链接。电子邮件示例如下:

Hi, I want to share with you my Engineering Dashboard. You can access it by clicking this url :
http://server:8080/CAST-Engineering/engineering/index.html#ADG/applications/101/snapshots/2/business/60017/qualityInvestigation/60013.
Regards.
5数据过滤此图标可以作为数据过滤,显示/不显示关键违规。默认情况下,只显示关键违规。 参见关键违规数据过滤器了解更多信息。
6搜索

激活搜索字段后可以通过评估模型中的条目名称进行搜索:

  • 搜索结果依赖于搜索的位置,包含此位置搜索后的条目。
  • 搜索不是上下文相关的,而是对整个当前快照的全局搜索
  • “包含”模式下的搜索功能,即搜索结果必须包含与搜索查询项匹配的文本
  • 显示结果的数量
  • 对象搜索结果列表包含以下信息:对象名称页、对象类型和对象全名
  • 结果是分页的,用滚动条滚动可以查看更多的结果
  • 在搜索结果中单击一个条目将深入到该条目在仪表盘中的确切位置

在主页、风险调查视图、交易调查视图和行动/排除列表中进行搜索,结果如下:

  • 业务标准
  • 技术标准
  • 规则
  • 度量
  • 分布

在“应用调查”视窗中搜索,可得到下列条目的结果:

  • 对象

关于搜索功能的技术说明:

  • 搜索功能使用开源的 Lucene搜索软件
  • 它依赖于在应用服务器启动时自动生成的索引。

参见 ED - 管理搜索索引了解更多信息

7当前用户

表示登录到工程仪表盘的当前用户的名称。下拉列表框显示如下:

包括以下选项:

  • Reset homepage - 参见 配置登录页或主页了解关于该选项的更多信息。
  • Change Language -更改仪表盘显示的语言。参见 修改仪表盘语言
  • Logout - 此选项使您可以从工程仪表盘注销—将显示一条消息,询问您是否确定要注销:

侧边栏

边栏框条目名称说明

1主页这个按钮将带您回到最初的“主页”或登录页面,无论您位于工程仪表盘的哪个位置。
2风险调查视图这个选项从评估模型的角度关注应用风险级别——从业务标准、技术标准、规则/措施/分布一直到违规对象。
3应用调查视图

此选项关注应用的技术组件(即其对象),并提供关于这些对象及其相关依赖项的违规细节。

4事务调查视图此选项主要关注应用的事务,并提供关于风险最大的事务及其相关依赖项的违规细节。
5行动 / 排除 / 教育

该选项允许访问 行动  / 排除  / 教育 功能。默认情况下,会跳转到 行动计划 功能。

6上下文帮助

此选项为工程仪表盘中的各种项目提供基本帮助。使用它:

  • 点击侧边栏的按钮 (1) - 这个按钮会变成一个圆圈里的叉
  • 在当前页面上配置的任何上下文帮助都将用蓝色圆圈中的加号突出显示(2)


  • 点击蓝色圆圈中的加号查看上下文帮助:

  • 要退出上下文帮助,首先单击上下文帮助解释左上角的十字以关闭解释,然后单击侧栏菜单中的上下文帮助按钮。

什么信息可用?

请注意,工程仪表盘具有一个服务器缓存,以提高数据显示的速度。但是,这确实意味着最近的数据更改(即新的快照生成)可能不会立即出现在仪表盘中。如果是这种情况,则需要手动重新加载服务器缓存。 参见 HD-ED - 重新加载缓存

工程仪表盘中显示的信息来自CAST AI管理员生成的快照,并提供了一组应用的详细“工程”级别视图——这包括关于规则和违规的特定信息。

快照

显示的所有数据都来自为所选应用生成的最新快照。但是,如果需要,可以使用顶部菜单中的快照选择器查看以前快照中的数据:

点击此选项将显示下拉菜单,可以选择需要的快照:

要查看之前的快照,请在时间轴上选择它,然后单击Select Snapshot选项:

然后,将更新显示为所选快照中的数据。

注意,当查看之前快照的数据时,有些信息/图块不可用:

  • 行动计划 - 行动计划在前一个快照中可用,但是,更改行动计划(添加/编辑违规)的能力仅在最近的快照中可用。
  • 教育列表不可用
  • 应用调查不可用 (数据库中没有历史数据)
  • 源代码不可用
  • 有些图块引用的数据在以前的快照中不可用。在本例中,未激活的图块仍然使用褪色的颜色显示,并包含解释问题的简短文本。以下图块不可用:
    • 应用组件
    • 关键违规 - 具有关键违规数较多的排序靠前模块
    • 按风险排序高的组件

回到当前快照

若要返回当前快照数据,请使用顶部菜单栏上的快照选择器按钮来选择最近的快照:

关键违规数据过滤

默认情况下,工程仪表盘只显示关于关键违规的信息,而不显示所有违规的数据——这允许您立即看到分析应用中最重要的缺陷。此数据过滤器由顶部菜单栏中的下列图标控制:

当处于只显示关键违规信息的默认位置时,图标被涂成红色,如上所示。当处于此位置时,仪表盘只显示关于关键违规信息,其他非关键违规的信息将被忽略。例如,风险模型块只显示关键违规的数据(如黑色圆圈所示):

请注意:

  • 仪表盘中的所有图块和视图都会受到数据过滤器的影响,并相应地更新它们的显示。只有下列组件不受影响:
    • 行动计划视图
    • 高风险组件图块
    • 高风险事务图块
  • 如果使用一个固定的URL(例如书签)来访问数据,例如违反了非关键规则,则会显示一条消息,通知过滤器已被暂时禁用:

  • 如果重置了主页 (参见 配置登录页或主页了解关于该选项的更多信息)。 then the filter will return to its default setting showing only Critical Violations.

禁用对关键违规的过滤

如果想查看应用中所有违规(不只是关键违规)数据,可以通过点击顶部菜单上的过滤器图标禁用过滤器:

一旦过滤器被禁用,所有的数据都会显示出来。例如,风险模型图块现在将显示所有违规行为数据:

数据显示

可用的数据以不同的“视图”显示:

  • 风险调查
  • 应用调查
  • 事务调查

风险调查视图

可从侧边菜单栏访问点击  或点击风险模块图块访问该视图,这个视图支持从评估模型的角度调查应用风险——从健康度量/业务标准、技术标准、规则/度量/分布一直到违规对象。

默认情况下,只有分类为健康度量的业务标准才会显示在仪表盘中,所有其他非健康度量的业务标准则不显示。可以更改此显示方式,以便在根据需要显示所有顶层业务标准 –  参见 ED - json中的仪表盘宽配置选项

在页面左侧数据以一系列表的形式呈现,右侧可以允许从健康度量一直展开到违反健康度量的具体单个对象。以健康度量的最高层级清单为例:

在本表中选择一项健康度量,将会在右侧显示所有相应的技术标准:

当选择健康度量时,技术标准列表中的第一行标题将显示为“全部规则……”。选择该项将显示贡献于该健康度量的所有规则列表:

选择技术标准将把技术标准移动到页面的左侧,并在右侧显示所有的贡献规则:

选择一个贡献规则将把规则移动到页面的左侧,并在右侧显示关于它的详细信息(包括违反规则的对象列表、计算细节和规则/分布/度量文档):

请注意,当有许多违规行为要显示时,会有一个"Show More"按钮:

为了提高性能默认情况下只显示10次违规,可以选择显示更多来使用其他各种选项(+10,+100等)。默认情况下,当单击“All”选项时,最多可显示5000次违规。如果需要,可以更改上限 (参见 ED - json中的仪表盘宽配置选项 violationsCount选项)。


最后,根据条目(规则、分布、度量),可以执行以下操作:

规则

有关规则,请参考以下章节:

违规

展开违规列表

...查看违反所选规则的对象:

标题图标

将提供以下图标:

Educate点击该图标将相关规则添加到工程仪表盘 - Education(教育) 列表。
Download点击该图标 导出违规列表到 Excel
源代码

注意,在查看以前快照中的数据时,源代码不可用。

在违规列表中选择一个对象以查看其源代码。为了集中调查,源代码显示如下:

  • 违规的对象
  • 或可用的违规细节(例如书签、路径)。

只要有一段代码可用,View File按钮(见下例)就提供了打开整个源代码文件以获取整个上下文的能力。该文件在一个单独的浏览器窗口中打开。整个源代码连同一些上下文(应用名称、快照引用、文件名)一起显示。

规则名称也使用颜色高亮显示(黄色表示标准规则(如下所示),红色表示关键规则):


请注意,在当前版本的CAST AIP中,源代码的显示功能有限:

  • 源代码目前没有显示引用用户输入安全元素的规则的所有违规行为,例如:
    • 规则 "避免在循环中直接或间接的远程调用"

当一个规则涉及“循环调用”时,例如“避免包之间的循环调用和继承”,那么源代码显示将稍微更改如下。循环调用意味着两个包通过调用相互引用,因此,结果可能是循环依赖关系。因此,在本例中,指示板不显示详细的源代码,而是包含包的列表,以便我们可以显示这些循环调用位于何处。

如果选择了“复制/粘贴”规则(例如避免太多的复制/粘贴工件),则会列出与所选对象高度相似的对象列表:

点击违规详情表中的对象后,会打开一个单独的页面,显示可比较的代码片段(见下图-点击放大):

  • 一个选项卡将打开分成两个区域(左/右)来显示选定的组件源代码和主源代码(默认情况下在左边)
  • 组件选择器存在于两个区域中,因此可以通过选择条目更改组件源代码显示
  • 文件选择器位于组件选择器(黑色背景)之下,以便可以看到位于每个文件中的组件源代码

书签

当结果包含源代码中的违规书签时,仪表盘可以访问关于当前规则对象实际缺陷的更多细节。每发现一个缺陷,就会显示违规书签;显示遵循与对象源代码查看器相同的模式:每个代码片段与其相关文件相关联,并且使用颜色突出显示违规书签(标准规则为黄色,关键规则为红色(如下所示)。多个书签可能与单个缺陷关联(如下图所示):

如果当前规则的对象中有超过5个缺陷时,将出现一个More defects按钮:

如果一个缺陷包含多个书签,那么主/辅助书签将显示主书签和其他书签,如下所示。显示遵循与对象源代码查看器相同的模式,只是次要书签将突出显示为蓝色:

如果当前规则的一个缺陷中有超过五个书签时,将出现一个More bookmarks按钮。颜色取决于规则是否重要(红色)或不重要(黄色)。如按“View File”按钮,会高亮显示行号:

OWASP 书签显示

针对违反OWASP规则的源代码缺陷(如避免SQL注入漏洞(CWE-89))的书签显示略有不同,以帮助跟踪应用中的违规情况:

  • Call 标签: 当源代码中的对象调用另一个对象或方法时,将显示此标签
  • Return 标签:当源代码中的对象返回到上层时,将显示此标签

可以使用右边的 "眼睛" 图标查看书签所在的源代码位置:

违规详情

源代码显示下面的违规详细信息显示了违规名称以及违规详细信息的值(即“相关值”):

如果规则没有任何违规细节,则会显示“此规则没有违规细节”消息。

为什么是一个问题?

可以用"为什么这是个问题? "选项,以查看已违反规则的基本原理部分。点击“了解更多”按钮,将直接看到违反规则的完整描述:


计算详情

本节显示:

  • Total check值,该值指示应用中根据当前规则检查的对象的总数。
  • 在快照生成期间使用当前规则检查了的模块数量(如以下示例中的7个模块中有3个被检查)
  • 遵从规则的%程度。在下面的示例中,当前规则的遵从性为18.29%——换句话说,根据该规则检查的对象中有18.29%没有违规(数字越大,遵从性越好)。

  • 展开该部分(使用上面解释的违规列表黑色箭头)将提供更多细节。在下面的例子中,我们可以看到:
    • 三个模块包含根据当前规则进行检查的对象。为每个模块提供一个%遵从性指标,以及违反当前规则的对象的数量和根据当前规则检查的模块中对象的总数。
    • 总符合率为18.29%,即应用中所有模块相对于当前规则的符合率。

说明
Module显示在快照配置和生成期间定义了对象的每个模块的名称。
Total Check模块中根据当前规则检查的对象的总数。
Viol.模块中违反当前规则的对象数量。
Compliance模块的遵从性百分比——即模块中符合规则的对象的百分比。

请注意,包含模块名称“Total”的行包含本节中显示的所有模块的累积数据。

规则说明
  • 展开规则文档部分(使用上面解释的违反列表中的黑色箭头),查看当前规则的详细描述:

访问应用调查视图中的对象

点击以下图标将直接进入应用调查视图中的对象:

分布

对于分布,您可以查看当前应用中的对象是如何分布的:根据分布本身的标准将对象放入不同是类别中。section表示对象的类别:Low/Small(绿色)、Average、High/Large和Very High/Very Large(红色)。状态列显示对象在当前快照和以前快照(未更改、添加、删除等)之间的状态。以规模大小分布为例

  • 查看当前分布的详细描述:

度量

工程仪表盘中列出了质量度量,但是,由于度量不会以违反规则的相同方式被“违反”,因此除了文档之外,可以显示的信息很少。如果你需要更多的信息测量,请使用健康仪表盘 :

表键

在风险调查模式中显示数据的所有表都包含不同的列。下表列出所有可能的列名,并对每一个列名作出解释:

健康度量
说明
显示自上次快照以来添加到当前选定项的当前快照中的违规或关键违规的数量。
显示自上次快照以来从当前选定项的当前快照中删除的违规或关键违规的数量。
#Critical / #Violations

显示当前选定项的违规或严重违规的数量。当第一次显示项时,此列还用作默认的排序标准。

Previous

显示当前选定项的当前快照中违规或关键违规数量与前一个快照中违规数量的百分比差异。

Health Measure
健康度量名称
技术标准

说明

显示自上次快照以来添加到当前选定项的当前快照中的违规或关键违规的数量。
显示自上次快照以来从当前选定项的当前快照中删除的违规或关键违规的数量。
#关键 / #违规

显示当前选定项的违规或严重违规的数量。当第一次显示项时,此列还用作默认的排序标准。

前一个

显示当前选定项的当前快照中违规或关键违规数量与前一个快照中违规数量的百分比差异。

技术标准
技术标准名称。

权重

在其父健康度量中显示技术标准的权重。值越高,项的权重越大。

规则、分布和度量
说明
显示自上次快照以来添加到当前选定项的当前快照中的违规或关键违规的数量。
显示自上次快照以来从当前选定项的当前快照中删除的违规或关键违规的数量。
#关键 / #违规

显示当前选定项的违规或严重违规的数量。当第一次显示项时,此列还用作默认的排序标准。

演进

显示当前选定项的当前快照中违规或关键违规数量与前一个快照中违规数量的百分比差异。

规则...
规则/分布/度量的名称。

权重

在其上级技术标准中显示规则/分布/度量的权重。值越高,项的权重越大。

关键规则

此列中的红点表示规则已被设置为评估模型中的关键规则。

违规
说明

该选项用于从行动计划或排除列表中添加/删除违规(参见工程仪表盘 - 行动计划了解更多信息)。注意,要操作行动计划/排除列表,登录的用户必须具有QUALITY_MANAGER/EXCLUSION_MANAGER角色权限。可以在用户级(使用缺省身份验证模式时)或通过用户或组(使用标准LDAP身份验证时)分配这些权限。请参见 ED - 配置用户授权了解更多信息。
行动 / 排除

表示违规是否被添加到行动计划或计划排除列表中 (参见 工程仪表盘 - 行动计划 for more information):

已添加到行动计划中。
已添加到计划排除列表中。
对象名位置显示对象名称,在基于文件的对象(与数据库对象相反)的情况下,显示对象在磁盘上的位置。
风险

这个值以前(在CAST Engineering仪表盘中)称为传播风险指数(PRI):它标识可能影响最大数量组件的违规行为,涉及健康度量相关的违规行为数量最多的对象。该值的计算公式如下:

PRI = (RPF + 1) x VI

其中:

RPF

风险传播因子(RPF):识别可能影响应用中最大数量组件的违规行为。影响区域计算如下:

  • 健壮性、效率性或安全性违规的风险传播因素是其调用路径的大小
  • 变更性违规的风险传播因素是它的扇入
  • 迁移性违规的风险传播因子为零(0)。

VI

违规指数(VI):考虑到规则和技术标准对健康度量的重要性,确定违规次数最多的对象。用来计算这个值的公式如下

对于每个对象,通过技术标准识别它违反的规则,这些规则归属于对应的健康度量。将技术标准内规则的总权重乘以健康度量内技术标准的总权重。换句话说:

VI = Sum_of_all_rules_violated_by_the_object (Quality_rule_weight * technical_criteria_weight)
状态

显示对象与前一个快照比较的状态,例如:

  • Added(添加)
  • Updated(更新)
  • Deleted(删除)
  • Unchanged(未变化)

还可以通过选择列标题并选择要查看的状态来过滤状态:

单击此图标将直接定位到应用调查视图中的对象。
分布
说明
对象名位置显示对象名称
状态

显示对象与前一个快照比较的状态,例如:

  • Added(添加)
  • Updated(更新)
  • Deleted(删除)
  • Unchanged(未变化)

还可以通过选择列标题并选择要查看的状态来过滤状态:

度量

度量只显示文档。

显示规则

每个表都显示了基于以下特定标准的业务标准、技术标准和规则/分布/度量:

  • 条目分类如下:
    • 在当前快照中显示(最坏的到最好的)违规次数
    • 如果关键违规/违规的数量相同,则还将使用上一次/演进列中的值来确定显示顺序
  • 如果某一项的严重违规/违规次数等于0(即没有违规),则灰色的线表示该项没有违规,因此也就不需要修复。如果需要,仍然可以通过单击该条目来查阅。
  • 如果前一列中的变化百分比恰好为0,则将该变化设置为0.00%,并将该项设置为灰色。如果:
    • 没有以前的快照可用来进行比较
    • 或者当前快照和以前的快照之间没有变化
  • 如果显示的变化百分比是0.00,但是当前快照和以前快照之间的变化非常小(例如0.003),则在变量值的前面加上波浪号(~),以表示近似值。
  • 当前面的%与基线%相同时,这意味着前面的快照和基线快照是一个且相同的(即只有两个快照存在),或者只有一个快照存在。
  • 如果只有一个快照,则显示N/A作为变量—无法查询该项。

只适用于规则:

  • 当前一个快照中没有违反规则时,“new”将显示在% Evolution列中(如果只有一个快照,则永远不会显示“new”)。

过滤

默认情况下,在使用风险调查视图时,将显示整个应用内容。但是,您可能有兴趣研究应用的子集(特定模块或特定技术)。为此,在顶部菜单的右上角区域有两个过滤器。

  • 模块过滤器 > 当研究评估模型中的任何条目时,您可以过滤与特定模块相关的结果。请注意,虽然展开分析时技术标准或规则可能不适用于一个特定的模块(如SQL规则并不适用于一个不包含SQL技术的模块,因此如果选择该规则去过滤模块,它不适用也没有意义)
  • 技术过滤器 >同样的过滤也适用于风险调查。

默认情况下,过滤器是不活动的(红色文本),只有在特定选择时才活动(白色文本):


请注意,有些过滤可能与展开分析无关。如果正在研究一个JEE特定的规则并尝试在HTML5技术上进行过滤(举例),我们将不会得到任何数据,因此,为了更清楚地说明问题,在这个上下文中禁用了HTML5技术过滤选项(浅灰色)。这可以应用于技术标准或规则级别,在一些罕见的情况下,甚至从健康度量级别:

  • 当研究特定对象时,过滤器将被禁用,因为它们不再相关。
  • 由于许多原因(混乱、书签或图块导致上下文中出现规则/对象),在离开风险调查页面时,过滤器总是被重置。

应用调查视图

注意,当查看以前快照中的数据时,应用调查视图不可用。

该视图可从侧边栏菜单  或通过点击应用组件图块访问, 此视图允许调查应用中的对象。数据以页面左侧和右侧的一系列表的形式呈现,使您能够从应用展开到应用中的单个对象,并查看这些对象违反的规则。

这个视图使用的默认健康度量是整体质量指数(Total Quality Index),可以使用右上角的下拉列表框来更改为其他健康度量:

应用浏览器

应用浏览器提供应用、模块组成、组成应用的单个项目和对象的树形层级视图:

在树中选择一个条目将做两件事:

  • 更新屏幕右侧的违规项列表(参见下面) -- 例如,在树中选择根应用将显示应用中违反的所有规则。选择单个对象将只显示所选对象违反的规则。
  • 更新分层对象树下的圆形数字视图,显示:
    • 对象:所选项违反项规则的对象数量——如果选择根应用,将显示违反至少一条规则的对象的总数。
    • 关键违规/违规: 关键违规或所选项违反规则的次数——该值将始终等于或高于“规则”圆圈的值(显示取决于是否只显示关键违规或所有违规)(参见 关键违规数据过滤)
    • 规则:所选项违反的规则数目
处理包含大量对象的大型应用

当应用大而平(平项目结构)时,条目的数量可能会很大,导致加载和页面呈现速度较慢。为了提高可用性,设计了分页机制:只加载项目的一个子集(默认为~100),在浏览器中滚动时,更多的内容将以“加载下一个项目”的消息延迟加载:

违规列表规则

在左侧区域选择一个条目(应用、模块、项目、对象)后右手区域将更新。本节列出所选项违反的规则和对象的技术属性(参见下面)。规则是根据所选条目(以及应用、模块或应用的所有组成项)违反规则的次数和规则是否为关键规则(用红点标记)列出的:

注意,图标表示正工作于该列表:

说明
名称所选项违反的规则的名称。
#违规 / #关键违规
关键违规或所选规则的违规数量(显示取决于是否只显示关键违规或所有违规)(参见 关键违规数据过滤))。
权重

在父技术标准中显示规则的复合权重。值越高,规则的权重就越大。点击权重列标题将对规则进行如下排序:

  • 按权重降序排序,当第一次点击时灰色突出显示
  • 按权重升序排序,当第二次点击时灰色突出显示
  • 按关键规则降序排序,当第三次点击时红点高亮显示
  • 按关键规则升序排序,当第四次点击时红点高亮显示

组合权重计算公式如下:

父层技术标准权重 X 规则权重
关键规则此列中的红点表示规则已被设置为评估模型中的关键规则。
技术属性

在左侧区域选择一个条目(应用、模块、项目、对象)右侧区域将相应更新。本节列出所选项违反的规则(见上文)和对象的技术上下文。本节显示所选对象的属性。它有两种视图:

  • 全局视图: 提供技术属性的描述(“本节显示所选对象的数字信息,例如代码行数”)。
  • 详情视图: 列举对象的属性:
    • 代码行数
    • 注释行数
    • 注释了的代码行数
    • 耦合
    • 圈复杂度
    • 异操作数
    • 不同的运算符
    • 本质复杂度
    • 扇入
    • 扇出
    • Halstead程序长度
    • Halstead程序词汇
    • Halstead 量
    • 集成复杂度
    • 注释行与代码行之比

请注意:

  • 当所选对象没有可用的技术属性时,详情视图会提供一个“此对象没有可用的技术属性”的信息。
  • 图标表示正工作于该列表:


违规和规则文档

点击右侧区域的规则,将会使右侧面板移动到左侧,并显示一个新的面板,其中包含:

  • 违反选定规则的对象列表,按字母顺序列出
  • 包含有关所选规则的文档

  • 有关列标题计划、对象名称位置、风险和状态的说明,请参见风险调查视图中的违规表格
  • 为了提高性能默认情况下只显示10次违规,可以选择显示更多来使用其他各种选项(+10,+100等)。默认情况下,当单击“All”选项时,最多可显示5000次违规。如果需要,可以更改上限 (参见 ED - json中的仪表盘宽配置选项 violationsCount选项)。

标题图标

下列图标可用:

教育点击该图标将添加相关规则到 工程仪表盘 - Education(教育) 列表。
下载点击该图标将 导出违规列表到 Excel

源代码

在违规与规则文档部分中选择一个对象,将把右侧面板移到左侧,并显示一个包含所选对象源代码的新面板:

注意,从以下技术分析的源代码在工程仪表盘中是不可见的:

  • PowerBuilder
  • BusinessObjects

请注意,在当前版本的CAST AIP中,源代码的显示功能是有限的:

  • 源代码实际上是包含所选对象的整个文件的显示,因此,如果文件非常大,则会影响显示性能
  • 源代码中显示违规位置的书签不显示,而是突出显示父源代码文件中的整个对象
  • 源代码目前没有显示引用用户输入安全元素的规则的所有违规行为,例如:
    • OWASP 安全规则
    • 规则 "Avoid direct or indirect remote calls inside a loop"
    • 任何引用复制/粘贴的规则

事务调查视图

点击侧边栏菜单 或点击Top Riskiest Transactions 图块中的对象,此视图支持调查应用中的事务。数据以页面左侧和右侧的一系列表的形式呈现,使您能够从具有高风险(即违规)的事务向下展开,直至违规本身。

视图的功能与风险调查视图非常相似。这个视图使用的默认健康度量是健壮性,但是您可以使用左上角的下拉列表框来更改它:

事务浏览器

浏览器按风险级别(即事务风险指数(TRI)值)对每个“页面”列出50个事务:TRI是应用中风险最高的事务的指示器。TRI数字反映了基于对事务做出贡献的单个对象中的风险的事务的累积风险。TRI被计算为违反规则的函数、它们的权重/临界性以及事务路径中所有对象违反规则的频率。TRI是一个强大的度量工具,可以识别、确定优先级并最终纠正风险最高的事务及其对象。)

选择一个事务将在右侧面板中显示关于每个健康度量状态的信息:

 列说明
显示自上次快照以来添加到当前选定项的当前快照中的违规或关键违规的数量。
显示自上次快照以来从当前选定项的当前快照中删除的违规或关键违规的数量。
#关键 / #违规

显示当前选定项的违规或关键违规的数量。当第一次显示条目时,此列还用作默认的排序标准。

健康度量
健康度量/业务标准的名称。

在本表中选择一个业务标准,将在右侧显示所有的贡献技术标准:

说明
显示自上次快照以来添加到当前选定项的当前快照中的违规或关键违规的数量。
显示自上次快照以来从当前选定项的当前快照中删除的违规或关键违规的数量。
#关键 / #违规

显示当前选定项的违规或关键违规的数量。当第一次显示条目时,此列还用作默认的排序标准。

技术标准
技术标准名称

权重

在其父健康度量/业务标准中显示技术标准的权重。值越高,权重越大。

选择一个技术标准将把技术标准移到页面的左侧,并在右侧显示所有的贡献规则、分布和度量:

说明
显示自上次快照以来添加到当前选定项的当前快照中的违规或关键违规的数量。
显示自上次快照以来从当前选定项的当前快照中删除的违规或关键违规的数量。
#关键 / #违规

显示当前选定项的违规或关键违规的数量。当第一次显示条目时,此列还用作默认的排序标准。

名称
规则/分布/度量的名称。

权重

在其上级技术标准中显示规则/分布/度量的权重。值越高,权重越大。

关键规则

此列中的红点表示规则已被设置为评估模型中的关键规则。

选择一个贡献规则、分布或度量,将把条目移动到页面的左侧,并在右侧显示关于它的详细信息(包括违反规则的对象列表和规则/分布/度量文档):

请注意,当有许多违规行为要显示时,会有一个“SHOW MORE”按钮:

为了提高性能默认情况下只显示10次违规,可以选择显示更多来使用其他各种选项(+10,+100等)。默认情况下,当单击“All”选项时,最多可显示5000次违规。如果需要,可以更改上限 (参见 ED - json中的仪表盘宽配置选项 violationsCount选项)。

标题图标

以下图标可用:

教育点击该图标添加相关规则到工程仪表盘 - Education(教育)列表。
下载点击该图标可以 导出列表到Excel文件

行动计划/排除列表/教育列表

工程仪表盘的功能包括:

  • 在“行动计划”中添加和删除对象(违规行为)——一个行动计划只是一个对象列表(即(“违规”)已被选中在下一个快照生成过程中进行操作,并将优先级分配给它们。然后,用户可以使用列表来集中他们的修复工作。把它看作一个“要做的列表”——即需要工作的对象,以删除CAST AIP标记的违规。
  • 从未来快照中排除对象——当对象违反了AIP规则,但不相关或为误报时,这可能很有用。
  • 在“教育”列表中添加或删除规则,以促进最佳实践。

参见:

导出数据到Microsoft Excel文件格式

如果需要,可以将数据导出为Excel文件格式。如要导出为Microsoft Excel文件格式,请使用下列图标,该图标可在以下级别使用:

  • 质量调查
    • 健康度量
    • 业务标准
    • 技术标准
    • 规则,分布和度量
    • 违规
  • 应用调查,事务调查
    • 违规
  • 行动计划
  • 计划和活跃的排除项

当单击此图标时,将根据您的浏览器提示您是否要保存或打开Excel文件。Excel文件将包含您要求的列格式的数据:


Excel文件数据说明:

  • 一些信息,如规则的临界性或权重是不可用的。

  • 快照之间的百分比变化不可用,但提供了当前快照和以前快照的得分。

  • 当单元格为空时,这通常意味着要么数据对所有模块都是公共的(空模块名称单元格),要么有多个技术(空技术单元格)。

违规级别导出 -- 关联值数据

当从违规级别导出数据到Excel时,一个包含规则关联值的列也可能出现在生成的Excel文件中 – 在下面的例子中,“JSP Page name”是规则“Action Artifacts should not direct call a JSP Page”的关联值:

关联值取决于相关规则的特定输出。对于上面显示的规则"Action Artifacts should not directly call a JSP page",关联的值被定义为JSP页面名称——换句话说,对于这个规则,上面突出显示的列中列出的JSP文件违反了相关规则。您可以在CAST Management Studio中打开评估模型并定位规则,查看相关的值配置:

排除列表

  • No labels