SAST スキャン結果

このトピックでは、静的分析スキャン結果で使用できる機能について説明します。

AppScan on Cloud サービスの静的分析機能を使用すると、Intelligent Finding Analytics (IFA) を利用したセキュリティー分析レポートを生成できます。IFA は、誤検出をフィルタリングで除外し、特定のコード・ポイントで修正できる検出結果をグループ化するという方法でトリアージ作業の大部分を自動的に処理することを特徴とした、強力な機械学習テクノロジーです。IFA について詳しくは、この記事を参照してください。

さらに、静的分析スキャンでは Intelligent Code Analytics (ICA) を利用します。ICA は自動的に新規アプリケーション・プログラミング・インターフェース (API) をディスカバーし、セキュリティー上の影響について評価しますすべてのサード・パーティー API とフレームワークは ICA を介してレビューされ、セキュリティー上の影響が正しく指定されます。これにより、より完全なスキャン結果を得ることができます。ICA について詳しくは、この記事を参照してください。

注: ICA は現在、Java、C/C++、.NET、および PHP をスキャンする場合にのみ適用されます。

静的分析の評価結果は、修正グループ別に検出結果をリストします。修正グループは、検出結果フローをグループ化した最も一般的なノードを表しています。通常、修正グループに対して修正を実装すると、少ない労力で最大の効果を得ることができます。修正グループは論理グループ化ポイントとしても考えられ、関連する検出結果を同時に確認できます。注意する点として、修正グループは修正を行うべき場所にないことがあります。今後行うリファクタリング、コード・プラクティス、その他の要因によって、修正にその修正グループの場所を利用できないことがあります。

注: 各修正グループには、脆弱性タイプごとに最大 100 件の検出結果が表示されます。