レポート

アプリケーションで検出された問題のレポートを生成します。送信するレポートを、開発者、社内監査者、侵入テスト担当者、マネージャー、CISO に送信します。セキュリティー情報は広範囲にわたる場合があり、要件に応じてフィルターを掛けることができます。

アプリケーション・レポートおよびスキャン・レポート

「アプリケーション」ページと「スキャン」ページから、アプリケーションの現在の状況に関するさまざまなレポートを生成できます。

アプリケーションまたはスキャン実行レポートを生成するには、次の手順を実行します。
  1. アプリケーションの場合は、「アプリケーション」ページで「管理」 > 「レポート」を選択します。
    スキャンの場合:
    • 「スキャンおよびセッション」ページで、リスト内の希望するスキャンの右端にある省略記号 () をクリックし、「レポートのダウンロード」を選択します。または
    • 「スキャン」概要ページで、「スキャンの管理」 > 「レポートのダウンロード」を選択します。
    「レポート」ダイアログ・ボックスが開きます。
  2. レポートの「タイプ」を選択します。
    • セキュリティー・レポート: アプリケーションで検出されたすべての問題に関する構成可能なレポート。
    • 業界標準のレポート: 次の手順で、リストからレポートを選択します。
    • コンプライアンス・レポート: 次の手順で、リストからレポートを選択します。
    • オープン・ソース・レポート (SAST および SCA のみ): コードで見つかったすべてのオープン・ソース・ライブラリー (およびそのライセンス) と、関連するオープン・ソースのリスク・レベルを示します。
  3. レポートに名前を付けて (またはデフォルト名のままにして)、ファイル・タイプ (HTMLPDF、場合によっては CSV および XML) を選択します。
  4. レポートの上部に追加される注記を追加します。オプション:
  5. 「次へ」をクリックして先に進みます。

    セキュリティー・レポート業界標準のレポートおよびコンプライアンス・レポート、およびスキャン・エクスポートのフォーマットについての詳細は、次を参照してください。

セキュリティー・レポート

セキュリティー・レポートは、以下について生成できます。
  • アプリケーション全体
  • 特定のスキャン (スキャンが複数回実行されている場合は、使用する実行を指定する必要があります)
  • フィルタリングされた、問題のリスト
  • 修正グループ
セキュリティー・レポートを生成するには、次の手順を実行します。
  1. 以下のいずれかを実行します。
    • 「アプリケーション」ページで、「管理」 > 「レポート」 > 「セキュリティー・レポート」を選択します。
    • 「スキャン」ページで、「スキャンの管理」 > 「レポートのダウンロード」 > 「セキュリティー・レポート」を選択します。
    • 「問題」または「修正グループ」ページで、レポートに含める問題だけが表示されるようにフィルターを適用してから、「セキュリティー・レポート」をクリックします。
    AppScan 360° 「レポート」ダイアログが開きます。ダイアログ・ボックスのタイトルは、レポートを起動した場所によって異なります。
  2. レポートに名前を付けて (またはデフォルト名のままにして)、ファイル・タイプ (HTMLPDF、場合によっては CSV および \) を選択します。
  3. レポートの上部に追加される注記を追加します。オプション:
  4. 必要に応じて、レポートの範囲を指定します。
    1. 非準拠の問題: 1 つ以上のポリシーに準拠していないアクティブな問題(状況が「オープン」、「進行中」、「再オープン」、および「新規」(非推奨) であるもの)。
    2. すべての問題: すべての状況、重大度、およびコンプライアンスを含む、アプリケーション内のすべての問題。「設定」ページのスコープに基づきます。「設定」ページのスコープが「状況に基づく」である場合、「すべての問題」にはすべての問題が含まれます。スコープが「状況とポリシーに基づく」と定義されている場合、1 つ以上のポリシーに準拠していないすべての問題が含まれます。ここではアクティブな問題のフィルターは適用されず、すべての問題が含められます。
  5. レポートで必要なセクションのチェック・ボックスを選択し、不要なセクションのチェック・ボックスをクリアします。
  6. 「レポートの生成」をクリックします。
    レポートが生成され、マシンに保存されます。
    注: フィルタリングされたリストの場合は、ボタンをクリックすると、セキュリティー・レポートが生成されます。したがって、スキャンが完了した時点のデータを反映する一般的なセキュリティー・レポートとは異なり、フィルタリングされたレポートには、検出された問題の最新の状況が反映されます。例えば、「新規」から「修正済み」に変わった問題は、このレポートで「修正済み」として表示されます。
    注: レポートが非常に大きい場合は、PDF の生成が失敗することがあります。このようなときは、代わりに HTML レポートが生成されます。このようになっていても、PDF 形式が必要な場合は、フィルターを使用して問題のチャンクを小さくし、2 つ以上のレポートを生成します。

業界標準のレポートおよびコンプライアンス・レポート

アプリケーションの以下のレポートから選択します。
業界標準 コンプライアンス
CWE 最も危険なソフトウェア脆弱性の Top 25 2021 カナダ情報自由とプライバシー保護法 (FIPPA)
国際標準化機構規格 - ISO 27001 EU 一般データ保護規則 (GDPR)
国際規格 - ISO 27002 決済アプリケーションのデータ・セキュリティー標準
NIST 特別文書 800-53 PCI コンプライアンス
OWASP API セキュリティー Top 10 2019 南アフリカ個人情報保護法 (PoPIA)
OWASP API セキュリティー Top 10 2023 米国カリフォルニア州消費者プライバシー法 (CCPA) - AB-375
OWASP Top 10 2017 [米国] DISA の Application Security and Development STIGV5R2
OWASP Top 10 2021 [米国] 電子資金決済法 (EFTA)
OWASP Top 10 モバイル 2016 米国連邦情報セキュリティー近代化法 (FISMA)
2023 年 CWE 最も危険なソフトウェア脆弱性の Top 25 米国連邦リスクおよび認可管理プログラム (FedRAMP)
WASC 脅威の分類 2.0 米国医療保険の携行性と責任に関する法律 (HIPAA)
米国サーベンス・オクスリー法 (SOX)

結果 (「高「重大」のみ、つまり、特定の日付以降に見つかった問題のみなど) のサブセクションのレポートを生成する場合は、レポートを生成する前にフィルターを結果に適用できます。

スキャン・データを CSVJSON、または SARIF でエクスポート

アプリケーションまたはスキャンの「問題」リストからデータを CSVJSON、または SARIF ファイルとしてエクスポートできます。
注:
  • エクスポートできるのは管理者だけです。
  • SARIF オプションは SAST の問題にのみ適用され、SCA (オープン・ソース) の問題には適用されません。無料サブスクリプションでは利用できません。
データをエクスポートするには、次の手順を実行します。
  1. エクスポートする問題のみが表示されるまで、必要に応じて問題リストをフィルタリングします。
  2. テーブルの真上にある「列」ドロップダウンを使用して、含める列を選択します。
  3. 表の上部にある「エクスポート」をクリックします。

    「データのエクスポート」ダイアログが開きます。

  4. ファイルの名前を入力し、「CSVJSON、または「SARIF」を選択します。
  5. 「エクスポート」をクリックします。

    データがファイルにエクスポートされます。