AppScan Enterprise Console への評価の公開

ご使用の AppScan® Enterprise ServerEnterprise Console オプションを指定してインストールされている場合は、Enterprise Console に評価を公開することができます。Enterprise Console は、レポート機能、問題管理、トレンド分析、ダッシュボードなど、評価に関する作業を行うためのさまざまなツールを備えています。

このタスクについて

Enterprise Console に評価を公開する前に、AppScan Enterprise Console の設定ページでサーバー設定を構成する必要があります。設定については、AppScan Enterprise Console 設定を参照してください。

注: AppScan ソース および AppScan Enterprise の一部のバージョンでは、AppScan ソース から AppScan Enterprise Console に評価を公開するために 2 つの製品のバージョンとリリース・レベルが一致していなければなりません。評価の公開時に互換性のある AppScan ソースAppScan Enterprise のバージョンを確認するには、「さまざまなバージョンの AppScan Source と AppScan Enterprise における接続の有効化と評価の公開方法」を参照してください。
制約事項: 複数のアプリケーションまたはプロジェクトをスキャンする場合は、スキャンした項目ごとの評価を含む親ノードが「マイ評価」ビューに作成されます。このケースでは、個別の子評価を管理することはできません (例えば、子評価を個別に削除または公開することはできません)。複数のアプリケーションまたはプロジェクトを同時にスキャンした場合は、評価を 1 つのグループ (親ノード) としてのみ管理できます。

手順

  1. Enterprise Console に 1 つ以上の評価を公開するには、以下のいずれかの方法を使用します。
    1. 「マイ評価」ビューで評価を 1 つ以上選択し、「 評価の公開先」AppScan Enterprise Consoleをクリックします。
    2. 「マイ評価」ビューで評価 (または複数の評価) を右クリックし、メニュー項目から「評価の公開先」AppScan Enterprise Consoleを選択します。
    3. 評価が表示されている場合は、メインメニューから「ファイル」 > 「評価の公開先」AppScan Enterprise Consoleの順に選択します。
  2. AppScan Enterprise Console に公開」ダイアログ・ボックスでは、以下のようにします。
    1. 評価を関連付ける AppScan Enterprise Console アプリケーションを指定します。これは、 AppScan Enterprise Server バージョン 9.0.3 以降に接続する場合には必須です (こちらの説明に従って要件を無効にしている場合を除きます)。AppScan Enterprise Server の旧バージョンに接続する場合、アプリケーションの関連付けの指定はオプションです。旧バージョンの AppScan Enterprise Server に接続される場合、このアプリケーションには、最後に公開先として指定されたアプリケーションがデフォルトで設定されています。公開時にアプリケーションが指定されなかった場合は、デフォルトで使用されるアプリケーションはありません。アプリケーションを指定するには、以下のようにします。
      1. 「アプリケーション」フィールドの「選択」ボタンをクリックします。
      2. 「アプリケーションの選択」ダイアログ・ボックスが開き、AppScan Enterprise Console にすべての既存アプリケーションが表示されます。AppScan Enterprise Console でアプリケーションの属性を表示するには、アプリケーションの横にある「プロフィールの表示」をクリックします。
      3. スキャンを関連付けるアプリケーションを選択するか、「新規アプリケーションの作成」をクリックして関連付ける新規アプリケーションを作成します。このリンクをクリックすると AppScan Enterprise Console が開き、新規アプリケーションを作成できます。新規アプリケーションの属性をいったん保存すると、「アプリケーションの選択」ダイアログ・ボックスが自動的に更新され、選択肢に新規アプリケーションが含まれるようになります (自動的に新規アプリケーションが含まれない場合は「更新」をクリックしてください)。
        ヒント: 「アプリケーションの選択 (Select Application)」ダイアログ・ボックスで、フィルター・フィールドを使用して、アプリケーションのリストを絞り込むことができます。入力すると、フィルターが自動的にアプリケーションのリストに適用されます。アスタリスク (*) と疑問符 (?) をワイルドカードとして使用できます。アスタリスクは、連続した複数の文字 (文字数がゼロの場合も含む) を表し、疑問符は単一の文字を表します。
      4. アプリケーションを選択したら、「OK」をクリックします。
    2. 必須: 「名前」フィールドには、AppScan Enterprise Console に評価を保存するときに付ける名前を指定します。
    3. オプション: バージョン 9.0.3 より前の AppScan Enterprise Server バージョンに接続された場合: 「フォルダー」フィールドを使用し、公開先の場所を設定します。デフォルトの場合、この場所には、最後に公開先として使用された場所が設定されます。まだ評価が公開されていない場合は、 デフォルトの AppScan Enterprise Console フォルダーが選択されます (これは、AppScan Enterprise Console の 設定ページで指定されたユーザー ID に対するデフォルトのフォルダーです)。別のフォルダーを公開先として選択するには、 「フォルダー」フィールドで「選択」ボタンをクリックしてから、任意のフォルダーを選択します (選択できるのは、自分が公開権限を持っているフォルダーだけです)。公開先にするフォルダーが利用できない場合は、「更新」をクリックして、サーバー上に加えられた変更をフォルダー・ツリーに反映します。
  3. 「公開」をクリックします。

タスクの結果

評価が保存されると、AppScan Source for Analysis は、ソース・ファイルなどの項目を参照するための絶対パスを評価ファイルに書き込みます。この絶対パスは、ディレクトリー構造が異なる別のコンピューター上でファイルを共有する場合に問題になる可能性があります。移植可能な評価ファイルを作成できるようにするには、変数を作成する必要があります (変数の定義または公開時および保存時の変数の定義を参照してください)。

評価の公開後、AppScan Enterprise (Enterprise Console) へのリンクが情報メッセージによって提供されます。そのリンクをクリックすると、デフォルトの外部 Web ブラウザーでポータル・ページが開きます。

ヒント: 公開に失敗した場合、Enterprise Console サーバーが稼働していることと、ブラウザーでそのコントロール・センターの URL にアクセスできることを確認してください (AppScan Enterprise Console の設定ページで指定したものと同じ Enterprise Console URL を使用します)。
注:
  • 評価が多数ある場合、ポータルに表示されるまでに時間がかかる場合があります。公開後にエラー・メッセージが表示されず、レポートがポータルに表示されない場合は、管理者に確認してください。
  • Enterprise Console で現在処理されている評価と同じ名前を持つ評価を公開しようとすると、公開できません。また、ある評価が処理された後でそれと同じ名前を持つ評価を公開した場合、2 番目の評価が最初の評価を上書きします (Enterprise Console を事前に構成しておくと、類似した名前を持つ複数のレポートに対する傾向分析を実行できます)。評価の処理が終了したかどうかを判別するには、Web ブラウザーで Enterprise Console のコントロール・センターにアクセスし、該当するユーザー・フォルダーにナビゲートして、レポートの状態を確認します。
  • AppScan ソース では、プロキシー設定を使用するように構成された Enterprise Console インスタンスへの公開はサポートされていません。プロキシー設定を使用しているインスタンスに公開しようとすると、エラーになります。
重要:

AppScan ソース バージョン 9.0.3.4 にアップグレードした場合、以下の変更点があります。

  • 評価を AppScan Enterprise Console に公開する場合、その評価を AppScan Enterprise のアプリケーションと関連付けることが必要になりました (AppScan Enterprise Server バージョン 9.0.3 以上を実行中の場合)。そのため、自動化スクリプトは、アプリケーションの関連付けが含まれていない場合に失敗する可能性があります。AppScan Enterprise Server では、AppScan Enterprise Server アプリケーション・セキュリティー・リスク管理機能を使用する場合、アプリケーションの関連付けが必須です。http://help.hcltechsw.com/appscan/Enterprise/10.0.0/topics/c_overview.htmlを参照してください。
  • さらに、AppScan Enterprise URL からポートを削除する必要があります。
    1. AppScan Source for Analysis で、「編集」 > 「設定」の順にクリックします。
    2. AppScan Enterprise Console の設定で、「Enterprise Console URL」フィールドからポートを削除します。
  • 評価の公開後、その評価を参照できるのは AppScan Enterprise「モニター」ビューのみになります (旧リリースでは、AppScan Enterprise「スキャン」ビューで評価を参照できました)。このビューへの移行は、http://help.hcltechsw.com/appscan/Enterprise/10.0.0/topics/t_workflow_for_applications.html に説明されています。

これは、Common Access Card (CAC) 認証を使用する場合に AppScan Enterprise Server へ公開するために必要な、AppScan ソースAppScan Enterprise Server の間の通信プロトコルを変更した結果、生じたものです。

CAC 認証が有効な場合に評価を AppScan Enterprise Server に公開したくない場合、または Enterprise Server アプリケーション・セキュリティー・リスク管理機能を利用したくない場合、以下の方法で前の通信プロトコルに戻すことができます。

  1. <data_dir>\config\ounce.ozsettings (<data_dir>AppScan ソース プログラム・データの場所です。詳細は インストールとユーザー・データ・ファイルの場所) を開きます。
  2. このファイルで、以下の設定を見つけます。
    <Setting 
		name="force_ase902_assessment_publish"
		value="false"
		default_value="false"
		description="Use ASE 9.0.2-style assessment publish"
		display_name="Use ASE 9.0.2-style assessment publish"
		type="boolean"
		read_only="true"
		hidden="true"
/>
  3. 設定で value="false"value="true" に変更し、ファイルを保存します。
  4. 評価の公開元の AppScan ソース 製品を再始動します。

この設定が value="true" に設定されたとき:

  • 公開時に評価を AppScan Enterprise のアプリケーションに関連付けた場合、評価は「モニター」ビューと「スキャン」ビューで参照可能です。
  • 公開時に評価をアプリケーションに関連付けていない場合、評価は「スキャン」ビューで参照可能です。
  • CAC 認証が有効なときは評価を AppScan Enterprise Server に公開できません。

詳細については、「AppScan Source バージョン 9.0.3.4 以降から AppScan Enterprise に公開するにはアプリケーションが必要」を参照してください。