サード・パーティー・スキャナーからの問題のインポート

サード・パーティー・スキャナーまたは手動ペン・テストから問題をインポートすることで、それらの問題をトリアージすることが可能になります。これらの問題は「新規」としてマークされるため、対応する必要がある問題のリストで容易に識別できます。

始める前に

  • CSV ファイルから問題をインポートする場合、問題が正常にインポートされるようにファイルを準備する必要があります。インポートのための CSV ファイルの準備を参照してください。
  • AppScan Standard v9.0.3 からレポート結果をインポートする場合、最初にレポート結果を XML ファイルにエクスポートする必要があります。『AppScan Standard からエクスポートされたレポートからの問題のインポート』を参照してください。
  • 以下のサード・パーティー・スキャナーから問題をインポートすることができます。
    • Black Duck
    • Burp Suite Professional
    • HP Fortify
    • HP WebInspect
    • IBM Security Guardium
    • Nessus Vulnerability Scanner
    • Veracode

手順

  1. AppScan® Enterprise の「モニター」ビューの「アプリケーション」タブで、「問題のインポート」をクリックします。
  2. 既存のスキャンを選択するか、または新規のスキャンを作成します。ウィザードの指示に従って、プロセスを実行します。スキャンに固有の名前を指定するようにしてください。その名前にスキャンのデフォルト名を使用しないでください。
  3. ログ・ファイルを調べて、問題がインポートされていないかどうかを調査します。
    注:
    1. 属性が問題の固有性に寄与する場合、ファイルでその属性にエラーがあると、問題はインポートされません。
    2. 属性が問題の固有性に寄与しない場合、その属性にエラーがあると、以下のようになります。
      • ドロップダウン属性の場合、AppScan® Enterprise は、エラーを、スキャナー・プロファイルで指定されているデフォルト値に置き換えて、問題をインポートします。
      • その他すべての属性タイプの場合、AppScan® Enterprise は、エラーがある属性値をインポートしませんが、問題はインポートします。
    これらの動作は、インポート・ログ・ファイルに記録されます。
  4. アプリケーションの問題のインポートのリストを表示するには、サイドバーで「詳細の表示」をクリックし、「アプリケーション属性」ウィンドウを「問題のインポート」セクションまでスクロールダウンします。AppScan Enterprise からスキャナーが削除されると、そのスキャナーに関するインポートはリストから削除されますが、インポートされた問題は引き続きアプリケーション・グリッドで使用可能です。
    注: v9.0.3.5

    インポートされた問題を選択してアプリケーションから削除することができます。このアプリケーションから削除される問題の数によっては、この操作にしばらく時間がかかる場合があります。

タスクの結果

インポートされた問題が「Undetermined」カテゴリーに表示されている場合は、必要な属性が定義されていないために CVSS スコアを計算できないことを意味しています。
「不明」として示された、インポートされた問題