在 IBM Rational 软件开发生命周期中实现源代码安全分析[3]

图 4：用 Security Analyst 提交结果

        项目经理和团队成员决定优先级（参见图 5）：对于开发团队围绕安全性编码错误和设计缺陷采取适当的行动来说，必须像其他需求、缺陷，或增强的请求一样来优先化冰管理它们。Ounce 5 与 ClearQuest 的集成能让开发人员在他们了解的环境中处理安全性问题。Ounce 5 问题可以直接分派给开发人员立即处理，或者分派给项目经理，然后授权给开发团队的成员。

        Ounce 5 ClearQuest 集成将根据默认的字段映射用严重性和优先级等级自动地填充 ClearQuest 字段。举例来说，已证实的弱点和高严重性的 Ounce 5 结论将映射为 ClearQuest 中的高优先级和高严重性。如果这些默认的映射对团队工作流无效的话，组织还可以自定义到 ClearQuest 中具体字段的默认映射。 
      

图 5：Ounce 5 ClearQuest 集成

        为了追踪，在 Ounce 5 Security Analyst 中还获取了具体的 ClearQuest 记录数字。一旦在 ClearQuest 中将问题分配给开发人员，就将把该问题就将作为整体项目的一部分进行管理，并且把它当作软件整体健康和进展的量度。

        开发人员纠正安全性问题（参见图 6）：当使用结合了 Ounce 5 Developer Plug-in 的 IBM Rational Application Developer IDE 时，开发人员不需要让 IDE 来完成安全性弱点的纠正。开发人员可以通过 ClearQuest 的“To Do”列表充分地观察安全性问题的优先级。一旦开发人员选择了要解决的安全性弱点，他或她就打开 Ounce 5 视图，其中标出了脆弱的代码行。此外，还有描述了代码如何脆弱的纠正指南，以及带有好坏代码实例的最佳实践推荐。一旦开发人员修复了问题，开发人员就可以选择执行本地扫描，从而验证修正情况，并且查看其它可能已经引入的问题。当开发人员通过纠正过程之后，代码就提交到 ClearCase 中，准备每夜的构建，并准备进入再次开始的循环。

                图 6：用 Ounce 5 纠正安全性问题

(未完待续)