トリアージおよび分析

類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® ソース 評価のトリアージを行い、結果を分析する方法について説明します。

コードをスキャンすると、スキャン結果 (検出結果) が表示されます。トリアージ は、検出結果を評価し、それらの解決方法を決定するプロセスです。ただし、この目標を達成するために必要となる手順は、検出結果の総数、特定のセキュリティー上の懸念、アプリケーションのリスク評価をはじめとする複数の要素によって異なります。トリアージでは、検出結果が実際のセキュリティー問題を表すかどうかを判断することに加え、必要に応じて検出結果の属性 (重大度、タイプ、分類) も変更しなければなりません。

目的とする順序と期間で目標が達成されるようにするためには、トリアージ戦略が重要です。トリアージを効果的に行うには、反復形式で検出結果のサブセットを評価し、それぞれの繰り返しでサブセットの処理方法を判断するのが最善の方法です。トリアージの反復を定義する方法を決定するには、有効な手法が複数あります。1 つの手法は、検出結果全体の重大度に基づき、高リスクの検出結果のサブセットを作成することです。最大のリスクを表す可能性のある検出結果を解決することから始めて、潜在的リスクが小さいものへと進めていきます。また、SQL 注入または検証の必要性などのセキュリティー上の懸念を基準にサブセットを定義するという手法もあります。

通常、トリアージを行うのはセキュリティー・アナリストまたは IT 監査員です。アナリストまたは監査員は、コードの変更が必要な検出結果を障害追跡システムに送信してから、コードを修正対象として開発者に送信します。開発者がトリアージを行い、問題を解決する場合もあります。

トリアージ・フェーズでは、次のことを実施できます。

  • 特に関心度が高い脆弱性タイプの検出結果をレビューする
  • 特定のカテゴリーの API を表示する
  • 評価が異なる検出結果を比較する
  • 特定の検出結果をフィルタリングまたは除外する
  • 検出結果の重大度または脆弱性タイプを変更する
  • 「要確認」および「スキャン範囲」の検出結果を「確定」に昇格させる
  • 検出結果に注釈を付ける
  • 障害追跡システムに障害を送信するか、検出結果を他のメンバーに E メールで送信する

AppScan ソース には、さまざまなトリアージ方針を使用して結果を分析するために必要なツールのすべてが用意されています。特定のトリアージ反復で処理する検出結果だけを表示する手段としては、フィルタリングを使用できます。重大度と分類を基準とした反復戦略を使用する場合、「脆弱性マトリックス」ビューで検出結果をフィルタリングできます。反復方針が脆弱性タイプによるものである場合は、「評価の概要」ビューからフィルタリングできます。 AppScan Source for Analysisでは、複雑な反復的アプローチをサポートするフィルター・エディターも用意されています。

一度トリアージのアプローチを選択すれば、AppScan Source for Analysis が検出結果の処理をサポートします。

  • 個々の検出結果または検出結果の集合の除外
  • 検出結果の詳細 (タイプ、重大度、分類) の変更
  • バンドル (検出結果のグルー化メカニズム) の作成
  • 「差分評価」ビューでの評価の比較