「問題の詳細」パネル
「問題の詳細」パネルは、アプリケーション内の選択された問題を要約したものであり、問題固有の問題 ID によって識別されます。このレポートは、問題の詳細を示すとともに、QA および Web 開発者が問題の修復プロセス時に使用するアドバイザリーを提供します。選択された問題のタイプによっては、このトピックで説明しているすべての情報がユーザー・インターフェースに表示されない場合があります。
「詳細」タブ
「詳細」タブには、問題を提示したスキャナーによって検出された元のスキャン検出結果 (差異と論拠を含む) が表示されます。
- 無料の試用版では、このタブに情報が表示されません。フル・サブスクリプション・サービスでのみコンテンツが表示されます。
- インポートされた問題には、「詳細」タブが表示されません。
「テスト要求」と「応答」セクションには、テストに関する情報とテストに固有のバリアントが示されます。これらは、ご使用の Web アプリケーションのどこに脆弱性があるかを検出するためにアプリケーションに送信されたものです。
テストには複数のバリアントがある場合があります。バリアントとは、スキャン・ジョブが Web アプリケーション・サーバーに送信する、元のテスト要求とのわずかな差異のことです。最初に送信される要求は、有効となり、アプリケーションのビジネス・ロジックをたどるようになっています。その後、同じ要求が送信されますが、この要求は、アプリケーションが不適切な要求や間違った要求をどのように処理するかが分かるように変更されています。
各テスト要求には多数のバリアント、すなわち、大規模データベース内のすべてのセキュリティー・ルールを網羅するのに必要な数のバリアントがあると考えられます。例えば、特定のパラメーターに関するユーザー入力ルールが実施されていることを検査するテストが送信されます。あるバリアントでは、アポストロフィが有効な入力でないことを検査するのに対して、別のバリアントでは、引用符が許可されていないことを検査します。
「コード・スニペット」では、JavaScript ソース・コードの静的分析を提供します。検出された問題には、脆弱性のあるソース・コードを強調表示する、ソース・レベルのトレース情報が追加されます。コード内で番号が付けられて強調表示されている行は、アプリケーションに入力された信頼できないデータがどのように伝搬されて非セキュアな方法で使用されるかを、ソースからシンクまで、ステップバイステップで示しています。
- 分類: 検出結果のタイプ: セキュリティー (「確定」または「要確認」) または構成。
- コンテキスト: 出力スタック内のメソッドのデータ・フローが表示されます。ソース・コード内で問題やコンテキストが出現する行番号などが示されます。
- ソース・ファイル: 脆弱性を含む、ワークスペース・プロジェクトのソース・ファイルを示します。
- 行番号: コード内のどこで脆弱性が検出されたかを示します。
「修正方法」タブ
- アプリケーションに脆弱性が存在するようになった原因として考えられるもの
- 組織に対するセキュリティー上のリスク (最悪の事態)
- 「推奨される修正」では、いくつかの開発環境に固有のサンプル・コードが開発者に提供されるので、問題をアプリケーション・ソース・コードで修正できます。問題によっては、推奨される修正がないものもあります。
- 参考資料と関連リンク (CVE、CWE、IBM セキュリティー X-Force など)
「コメント」タブ
「コメント」タブには、自分または組織内の他のユーザーが追加したコメントが表示されます。これらのコメントは、リマインダーとして役立ちます。
「監査証跡」タブ
「監査証跡」タブには、組織内のアプリケーション内の特定の問題に関連するすべてのアクティビティーと変更の包括的な記録が表示されます。この機能は、問題の履歴と進展を追跡し、透明性と説明責任を確保し、チーム・メンバー間の効果的なコラボレーションを促進するために不可欠です。
「プロパティー」タブ
「プロパティー」タブには、問題が検出された方法と日時、タイプ、状況、重大度、スキャナー、場所、問題 ID など、問題の詳細が展開表示されます。「プロパティーのコピー」オプションを使用して、関連情報を簡単に複製し、レポート、電子メール、またはその他の通信チャネルに貼り付けることができます。