静的 (SAST) スキャン

静的分析を使用して、セキュリティーの脆弱性がないかソース・コードをスキャンします。これを行うには、小規模なクライアント・ユーティリティーをダウンロードし、コマンド行インターフェース (CLI) を使用して、サポートされるすべての言語でセキュリティー分析を実行します。クライアント・ユーティリティーには、Java プロジェクトのスキャンに使用できる Maven プラグインも含まれています。EclipseIntelliJ IDEA、および Visual Studio 用の静的分析プラグインは、それぞれのマーケットプレイスで入手できます。プラグインをインストールすると、Eclipse と IntelliJ IDEA では Java プロジェクトを、Visual Studio では .NET (C#、ASP.NET、VB.NET) プロジェクトをスキャンできます。

始める前に

静的分析スキャンでサポートされているすべての言語については、言語サポートを参照してください。

手順

コードをスキャンするには、次の手順に従います。
  1. Static Analyzer Client Utilityのセットアップ で説明されているように Static Analyzer Client Utility をダウンロードしてセットアップします。
  2. コードをスキャンするか、コードの IRX ファイルを生成します。
    1. CLI を使用して IRX ファイルを生成するには、コマンド・ライン・インターフェース (CLI) を使用した IRX ファイルの生成の説明に従います。CLI からすべてのサポート対象言語をスキャンできます。
    2. Maven プロジェクト用の IRX ファイルを生成するには、Maven プロジェクト用の IRX ファイルの生成の説明に従います。
    3. Eclipse、IntelliJ IDEA、または Visual Studio でソース・コードをスキャンするには、統合開発環境におけるスキャンの説明に従います。Eclipse および IntelliJ IDEA では、Java プロジェクトをスキャンできます。また Visual Studio では .NET (C#、ASP.NET、VB.NET) をスキャンできます。
    注: ソース・コードをスキャンするか、IRX ファイルを生成する際に、最新のクライアント・ユーティリティーへの更新に関するメッセージを受け取ることがあります。クライアント・ユーティリティー とクラウド・サービスのバージョンの互換性を参照してください。
  3. まだ作成してない場合:スキャン用のアプリケーションを作成します
  4. アプリケーションで「スキャンの作成」をクリックしてウィザードを開き、「静的スキャン」をクリックしてスキャンの構成を開始します。
  5. 「アップロード・ファイル」タブ: IRX ファイルをグレーの領域にドラッグ・アンド・ドロップして (またはファイルをクリックして選択)、「次へ」 をクリックします。
  6. 「プレゼンス」タブ: あるユーザーのセキュリティーの問題をアプリケーション全体の問題として追加しない場合は、スキャンを個人スキャンとして実行することを選択できます。スキャン完了後に E メールを送信するデフォルト・オプションを選択解除することもできます。
  7. 「レビューおよびスキャン」をクリックして、概要ダイアログに進みます。
  8. オプションで、スキャンに付けられているデフォルト名を編集できます (日時スタンプの付いた APK ファイル名)。
  9. 「すぐにスキャン」をクリックします。