ポリシー

ポリシーを作成するか事前定義されたポリシーを使用してスキャンで検出された問題をフィルタリングし、1 つ以上のポリシーをアプリケーションに関連付けることができます。

ASoC には現在、6 つの事前定義されたポリシーが含まれています。事前定義された関数を使用して、独自のカスタム・ポリシーを作成できます。ポリシーの作成と管理は、ユーザー・インターフェースおよび REST API を使用して行うことができます。
注: 1 つ以上のポリシーをアプリケーションに関連付けると、デフォルトでポリシーが有効になります。関連付けを保守する際にポリシーを無効にして、後で再び有効にすることができます。
注: ポリシーを削除すると、すべての関連付けが削除されます。

事前定義されたポリシーと関数

現在、6 つの事前定義されたポリシーと 8 つの事前定義された関数があります。事前定義されたすべてのポリシーは、ユーザー・インターフェースおよび API で使用可能です。
表 1. 事前定義されたポリシー
レポート名 説明
ベースライン StartDate パラメーターで設定された日付以降に検出された問題を特定します。
CWE/SANS Top 25 SANS Institute および共通脆弱性タイプ一覧 (CWE: Common Weakness Enumeration) で、ソフトウェアに脆弱性をもたらす可能性のある最も重大なエラーのトップ 25 の 1 つとして定義されている問題を特定します。
EU 一般データ保護規則 (GDPR) 2018 年 5 月に履行義務が生じるようになった一般データ保護規則に対する準拠違反の原因となり得る問題を特定します。
HIPAA 米国における医療保険の相互運用性と説明責任に関する法律 (HIPAA) (1996 年) に準拠していない問題を特定します。
OWASP トップ 10 2017 Open Web Application Security Project (OWASP) で最も重大な Web アプリケーション・セキュリティー・リスクのトップ 10 の 1 つとして定義されている問題を特定します。
PCI 準拠 クレジット・カード業界 (PCI) データ・セキュリティー基準に準拠していない問題を特定します。
表 2. 事前定義された関数
名前 パラメーター 説明
StartDate 以下のいずれかの形式で日付を指定します (時刻を含めることもできます)。
  • "yyy-MM-dd"
  • "yyyy-MM-ddThh:mmZ" (UTC)
  • "yyyy-MM-ddThh:mm+hh:mm" (現地時間 +/- UTC オフセット)
指定された日付 (および時刻) 以降に検出された問題を返します。
例:
日付のみ
2018-04-24
UTC 時
2018-04-24T10:30Z
現地時間 +/- UTC オフセット
2018-04-24T11:30+01:00

2018-04-24T07:30-03:00

MinSeverity 以下の形式で重大度を指定します。"Information | Low | Medium | High | Critical" パラメーターに指定された重大度以上の問題を返します。
OwaspTop10_2017 N/A OWASP でトップ 10 のセキュリティー・リスクとして定義されている問題を返します。
SansTop25 N/A SANS Institute でトップ 25 の重大エラーとして定義されている問題を返します。
EUGdpr_2016 N/A アプリケーションが GDPR に準拠しない原因となる問題を返します。
CWE CWE ID のリスト 指定された CWE ID に対応する問題を返します。
PCI N/A アプリケーションが PCI データ・セキュリティー基準に準拠しない原因となる問題を返します。
HIPAA N/A アプリケーションが HIPAA に準拠しない原因となる問題を返します。