修復プロセス

セキュリティー・チームでは、リスクの判別と脆弱性の優先順位付けを行った後、修復プロセスを開始できます。

修復プロセス

以下に、基本的なワークフローを示します。

  • セキュリティー・マネージャーは、修復の優先順位を設定し、修復タスクを開発チームに割り当てます。悪用の可能性が最小限の場合、セキュリティー・マネージャーは、ある程度のリスクを受け入れ、一部の脆弱性を修復対象に割り当てないと判断する場合があります。環境によっては、設定された一定期間に状態をモニターするのが最善の方法になることがあります。
  • 開発者が、高優先度の脆弱性を修正します。
  • QA エンジニアは、アプリケーションの新規バージョンに対して適切なテストを実行し、修復が成功したことを確認したら、データをセキュリティー・マネージャーに転送します。
セキュリティー・マネージャーが、障害の修正以外にも実施できる処置はその他にもいくつかあります。
  • セキュアなコーディング技法について開発者をトレーニングする
  • 問題に対処するコード・ライブラリーを提供する
  • 開発ライフサイクルの早期に障害を検出するためのテスト・プランとスクリプトを作成する
  • アプリケーション仕様のソース・コーディングに対するベスト・プラクティスを設定する

セキュリティー問題の解決と修復支援の表示

AppScan Enterprise は、セキュリティーの脆弱性に関するアラートをユーザーに通知し、解決プロセスを支援します。

手順

  1. アプリケーション内で「問題 ID」をクリックすると、「この問題の情報」レポート・ダイアログが開きます。このダイアログには、選択した問題に関するアドバイザリー、推奨される修正、およびその他の多様な情報が表示されます。レポートで提供される情報については、「この問題の情報」レポートを参照してください。
  2. AppScan Enterprise の誤検出のトラブルシューティングをお読みください。