以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
アプリケーション内で特定された脆弱性のテスト方法を説明します。
これらのシナリオは、開発者とセキュリティー・チームを対象としています。ご使用状態に最も適合するユーザーの役割を使用してください。
開発者チームは、AppScan のさまざまなメソッドとユーザー・インターフェースを使用してスキャン・テンプレートを作成しています。
アプリケーション・インベントリーの作成方法を説明します。
内部またはサード・パーティー・スキャナーから問題をインポートする方法について説明します。
セキュリティー・チーム (メンバーに管理者特権が付与されている) は、AppScan Standard で作成したスキャン構成を使用してテンプレートを作成します。作成したスキャン・テンプレート・ファイルは、AppScan Enterprise で使用できます。開発者 (クイック・スキャン・ユーザー特権が付与されている) は、スキャンを作成する際にこのテンプレートを選択し、新しい AppScan Dynamic Analysis Client のウィザードを使用してスキャンの作成を完了します。スキャン構成を変更する必要があるときにも、同じクライアントを使用します。
セキュリティー・チームがスキャン・テンプレートの作成に使用する方式に応じて、AppScan Dynamic Analysis Client または AppScan Enterprise のユーザー・インターフェースを使用してスキャンを作成できます。これらのトピックでは、状況に応じて必要になるそれぞれのタスクについて説明します。
基本スキャンを編集して構成オプションを変更できます。スキャンを編集する際にヘルプが必要な場合や、設定値をさらに追加する必要がある場合は、セキュリティー・チームに支援を求めてください。セキュリティー・チームは、AppScan Dynamic Analysis Client の詳細ビューでスキャンを編集できます。
インポート・クイック・スキャンは、製品管理者によって作成されるスキャン・テンプレート内のパラメーター・セットを使用して、AppScan® ファイルをアップロードします。ファイルがアップロードされた後、そのデータはレポート・エンジンによる分析用にデータベースに格納され、レポートの集合であるレポート・パックを介して使用できるようになります。
セキュリティー・チームは、AppScan Standard に作成されているスキャン構成を使用してテンプレートを作成することができます。
AppScan® Standard のスキャン・テンプレート (*.scant) に基づく既存のコンテンツ・スキャンがある場合、AppScan Dynamic Analysis Client で直接編集できるようにそのスキャン構成を変換することができます。ただし、スキャン構成を変換した後、その構成を再び AppScan Standard で開くことはできません。
AppScan Enterprise でジョブを実行する方法とスケジュールする方法について説明します。
スキャン・プロパティーをエクスポートし、それらのプロパティーに基づいて新規スキャンを作成します。これは、2 つの Enterprise Console のインスタンス間でスキャンをコピーするために使用する方法です。
実行中のジョブを停止するために使用できる方法は 3 つあります。各方法を使用する理由はそれぞれ異なりますが、大きな要因は、データを保持するかどうか、またはジョブを停止した時点から実行を続行するかどうかです。中断状態のジョブを再開して、スキャンが停止した場所から続行できます。再開したジョブは、使用可能なエージェント・サーバー上にある次のフリー・エージェントによって処理されます。
アプリケーション内で特定されたリスクを判別して、脆弱性の優先順位付けをする方法について説明します。
アプリケーション内で特定されたリスクの修復方法を説明します。
進行状況の測定とコンプライアンスの実証方法について説明します。