アプリケーションに、多数の脆弱性が検出されたスキャンが多数ある場合、事前設定された問題属性 (問題の重大度、問題のタイプ、または問題の状態) に対してフィルターを使用し、管理しやすいサイズまでリストを削減することができます。
このタスクについて
以下の問題の属性をフィルター処理できません。
- ID
- Location (場所)
- 最終更新日時
- 作成日
- 修正日
- 説明
- 問題 XML
- コメント
手順
-
トリアージする最初のアプリケーションを開きます。デフォルトでは、問題リストは「重大度」別にグループ化されます。代わりに、「問題のタイプ」、「状態」、または「スキャナー」別に問題をグループ化することもできます。リストの分類フィルターは、サイドバーに自動的に表示されます。
-
「フィルターの追加」フィールドを使用して、フィルター・リストを絞り込みます。例えば、セキュリティーの問題に対して脆弱な URL を見つけるには、「ドメイン」でフィルタリングしてから「パス」でフィルタリングします。リストが縮小され、そのページで検出されたすべての脆弱性が表示されます。リストがまだ大きい場合は、「問題のタイプ」または「問題の重大度」でフィルタリングします。
注: ビューで非表示にするためにカスタマイズ対象の状態 (noise、passed、または fixed) でフィルタリングする場合、フィルタリングされた状態は問題リストに引き続き表示されます。
-
特定の問題を検索するには、その「問題 ID」番号を「フィルターの追加」フィールドに入力します。これは、E メール、PDF、障害追跡システム、または古いレポートに記載した可能性がある問題を検索する際に便利です。
- 動的分析 (DAST) 問題または静的分析 (SAST) 問題にフォーカスするには、「ディスカバリー方法」でフィルタリングします。次に、「問題のタイプ」でフィルタリングしてから「パス」でフィルタリングします。
- 各問題の「問題 ID」をクリックすると、固有の 「この問題の情報」レポート が開きます。このレポートは、問題の詳細を提供し、QA および Web 開発者が問題の修復プロセス中に使用するアドバイザリーを提供します。
- 「スキャン名」でフィルタリングすると、脆弱性を生成しているアプリケーションの領域が特定されます。この方法は、アプリケーションの全範囲をカバーしているかどうかを確認するのに役立ちます。この方法は、アプリケーションの問題が多数ある場合、あるいはアプリケーションのスキャンが多数ある場合に便利です。次に、「問題のタイプ」でフィルタリングします。
-
SAST 問題の列見出しを表示するには、「列の選択」グリッド・レイアウト・メニューから対象の列見出しを選択します。SAST 問題を AppScan® Source からインポートする必要があるため、これらの列見出しはデフォルトでは非表示になっています。
-
「About this Issue 」レポートの「トレース」タブを表示するには、「ソース・ファイル」でフィルタリングしてから「問題 ID」でフィルタリングします。
-
「ソース・ファイル」でフィルタリングしてから「API」でフィルタリングします。このフィルタリングを組み合わせることで、API とその API に渡される引数が表示されます。
-
「分類」でフィルタリングしてから「スキャン範囲検出結果」でフィルタリングすることで、スキャン範囲をより効率的にするために改善することができる AppScan Source 内のスキャン構成のエリアを判別します (逸失シンクの検出結果など)。
注: 9.0.3.1. iFix2 の新機能: デフォルトでは、スキャン範囲検出結果がビューからフィルタリングされます。デフォルトを削除するには、にアクセスして、「スキャン範囲検出結果」チェック・ボックスをクリアします。こうすると、数式の計算にスキャン範囲検出結果が含まれないため、「ポートフォリオ」タブに表示される数式に影響します。
タスクの結果
このフィルターは、個々のアプリケーションごとに保存されます。