アプリケーション内でのセキュリティー問題のリストのフィルタリング

アプリケーションに、多数の脆弱性が検出されたスキャンが多数ある場合、事前設定された問題属性 (問題の重大度、問題のタイプ、または問題の状態) に対してフィルターを使用し、管理しやすいサイズまでリストを削減することができます。

このタスクについて

以下の問題の属性をフィルター処理できません。
  • ID
  • 場所
  • 最終更新日
  • 作成日
  • 修正日
  • 説明
  • 問題 XML
  • コメント

手順

  1. トリアージする最初のアプリケーションを開きます。デフォルトでは、問題リストは「重大度」別にグループ化されます。代わりに、「問題のタイプ」「状態」、または「スキャナー」別に問題をグループ化することもできます。リストの分類フィルターは、サイドバーに自動的に表示されます。
  2. 「フィルターの追加」フィールドを使用して、フィルター・リストを絞り込みます。例えば、セキュリティーの問題に対して脆弱な URL を見つけるには、「ドメイン」でフィルタリングしてから「パス」でフィルタリングします。リストが縮小され、そのページで検出されたすべての脆弱性が表示されます。リストがまだ大きい場合は、「問題のタイプ」または「問題の重大度」でフィルタリングします。
    注: ビューで非表示にするためにカスタマイズ対象の状態 (noisepassed、または fixed) でフィルタリングする場合、フィルタリングされた状態は問題リストに引き続き表示されます。
  3. 特定の問題を検索するには、その「問題 ID」番号を「フィルターの追加」フィールドに入力します。これは、E メール、PDF、障害追跡システム、または古いレポートに記載した可能性がある問題を検索する際に便利です。
  4. 動的分析 (DAST) 問題または静的分析 (SAST) 問題にフォーカスするには、「ディスカバリー方法」でフィルタリングします。次に、「問題のタイプ」でフィルタリングしてから「パス」でフィルタリングします。
    1. 各問題の「問題 ID」をクリックすると、固有の 「この問題の情報」レポート が開きます。このレポートは、問題の詳細を示すとともに、QA および Web 開発者が問題の修復プロセス時に使用する修正方法を提供します。
    2. 「スキャン名」でフィルタリングすると、脆弱性を生成しているアプリケーションの領域が特定されます。この方法は、アプリケーションの全範囲をカバーしているかどうかを確認するのに役立ちます。この方法は、アプリケーションの問題が多数ある場合、あるいはアプリケーションのスキャンが多数ある場合に便利です。次に、「問題のタイプ」でフィルタリングします。
  5. SAST 問題の列見出しを表示するには、「列の選択」グリッド・レイアウト・メニューから対象の列見出しを選択します。SAST 問題を AppScan® Source からインポートする必要があるため、これらの列見出しはデフォルトでは非表示になっています。
    1. About this Issue 」レポートの「トレース」タブを表示するには、「ソース・ファイル」でフィルタリングしてから「問題 ID」でフィルタリングします。
    2. 「ソース・ファイル」でフィルタリングしてから「API」でフィルタリングします。このフィルタリングを組み合わせることで、API とその API に渡される引数が表示されます。
    3. 「分類」でフィルタリングしてから「スキャン範囲検出結果」でフィルタリングすることで、スキャン範囲をより効率的にするために改善することができる AppScan® Source 内のスキャン構成のエリアを判別します (逸失シンクの検出結果など)。
      注: 9.0.3.1. iFix2 の新機能: デフォルトでは、スキャン範囲検出結果がビューからフィルタリングされます。デフォルトを削除するには、「メニュー・リスト」 > 「ビューのカスタマイズ」にアクセスして、「スキャン範囲検出結果」チェック・ボックスをクリアします。こうすると、数式の計算にスキャン範囲検出結果が含まれないため、「ポートフォリオ」タブに表示される数式に影響します。

タスクの結果

このフィルターは、個々のアプリケーションごとに保存されます。

次のタスク

アプリケーション内での問題のトリアージ