このセクションでは、AppScan® Source for Analysis を総合的な AppScan ソース ソリューションに合わせて調整する方法と、ソフトウェア・アシュアランス・ワークフローについて理解するための基礎知識について説明します。

HCL® AppScan® ソース は、ソフトウェア・セキュリティーに携わる組織内のすべてのユーザーに対して、最大の価値を提供します。AppScan ソース 製品により、セキュリティー・アナリスト、品質保証専門家、開発者、経営幹部などの職種に関わらず、それぞれのユーザーが必要とする機能、柔軟性、処理能力がデスクトップで実現します。

AppScan® ソース をインストールする際には、適切なインストール・ワークフローに従う必要があります。以下のトピックでは、いくつかのインストールのサンプル・シナリオに含まれるワークフローに沿って説明します。

このセクションでは、拡張インストール・オプションとアクティブ化の手順について説明します。

カスタム・インストール・ウィザードを作成する目的でインストールをカスタマイズしたり、製品をサイレントにインストールするカスタム・インストーラーを作成したりすることができます。

AppScan® ソース カスタム・インストール・ウィザードは、サイレント・インストーラーの作成に使用されます。

AppScan® ソース は、Windows™ コントロール・パネルから削除するか、または Linux™ のアンインストール・スクリプトを使用して削除できます。AppScan ソース のアンインストールでは、インストール済みの Oracle データベースの削除やバックアップは行われません。Oracle インスタンスから AppScan ソース ユーザーを削除することは、手動のデータベース管理タスクです。

スキャンの前に、アプリケーションとプロジェクトを構成する必要があります。このセクションでは、アプリケーション・ディスカバリー・アシスタント、新規アプリケーション・ウィザード、および新規プロジェクト・ウィザードについて説明します。AppScan® Source for Analysis の属性を構成する方法についても説明します。さらに、このセクションでは、スキャン用に既存のアプリケーションおよびプロジェクトを追加する方法と、プロジェクトにファイルを追加する方法についても説明します。

設定は、AppScan® Source for Analysis の外観および操作についての個人の選択項目です。

このセクションでは、ユーザー管理、許可、アプリケーションとプロジェクトの登録、およびポート構成について説明します。

AppScan® ソース は、ユーザー・アクティビティーを監査するための便利な機能を提供します。「監査」ビューでは、AppScan Enterprise Server に対する認証、新規ユーザーの作成、データベースでの新規ルールの作成などのイベントが記録されます。

大部分の AppScan® ソース 製品とコンポーネントでは、AppScan Enterprise Server への接続が必要です。このサーバーは、一元的ユーザー管理機能と、AppScan ソース・データベース を介して評価を共有するためのメカニズムを提供します。

LDAP を介して認証される AppScan® ソース ユーザーを追加するには、LDAP リポジトリーを使用するように AppScan Enterprise Server ユーザー・リポジトリーを構成しておく必要があります。

AppScan® ソース のアプリケーションおよびプロジェクトには、スキャンおよびトリアージのカスタマイズに必要な構成情報を保守する対応ファイルがあります。プロジェクトをビルドするために必要な構成情報 (依存関係やコンパイラー・オプションなど) は、AppScan ソース がプロジェクトを正常にスキャンするために必要な構成情報と非常に似ているため、これらのファイルはソース・コードと同じディレクトリーに配置することをお勧めします。ベスト・プラクティスには、これらのファイルをソース・コントロール・システムで管理する方法があります。

製品のインストール時に solidDB® データベースをインストールする場合は、solidDB のユーザーおよび管理ユーザーの資格情報を構成する必要があります。デフォルトで、solidDB ユーザーの設定は、ユーザー名が ounce、パスワードが ounce です。デフォルトのデータベース管理者のユーザー名とパスワードはどちらも dba です。

このセクションでは、ソース・コードのスキャン方法および評価の管理方法について説明します。

類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® ソース 評価のトリアージを行い、結果を分析する方法について説明します。

AppScan® ソース トレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。

AppScan® Source for Analysisは障害追跡システムIBM® Rational Team Concert™と統合されているため、確認されたソフトウェアの脆弱性を開発者のデスクトップに直接送信できます。障害追跡システムに送信される障害には、バグに関する説明文と、障害とともに送信される検出結果のみが記載されているファイルが含まれています。

セキュリティー・アナリストおよびリスク・マネージャーは、選択された検出結果のレポート、またはソフトウェア・セキュリティーのベスト・プラクティスおよび法的要件へのコンプライアンスを測定するための一連の監査レポートにアクセスできます。このセクションでは、集約された検出結果データのレポートを作成する方法について説明します。

レポート・エディター内で、カスタム・レポートの生成に使用するレポート・テンプレートを作成します。

このセクションでは、脆弱性データベースをカスタマイズし、カスタマイズした脆弱性やその他のルーチンをスキャンに組み込む方法について説明します。

AppScan® ソース では、Apache Tomcat および WebSphere® アプリケーション・サーバー Liberty プロファイルから Java™ アプリケーションをインポートできます。このトピックで説明するように、アプリケーション・サーバーのインポート・フレームワークを拡張することにより、他のアプリケーションから Java アプリケーションをインポートできます。

Ounce/Make は、makefile を使用するビルド環境から AppScan® ソース への構成情報のインポートを自動化するツールです。Ounce/Make を使用すると、makefiles から構成情報を手動でインポートする必要がなくなります。

CLI は、中核の AppScan® ソース 機能とのインターフェースです。

このセクションでは、AppScan® ソース と Apache Ant を統合する AppScan ソース ビルド・ユーティリティーである、Ounce/Ant の使用方法について説明します。使用する Ant 環境に Ounce/Ant を統合すると、ビルドの自動化と評価のコード化に役立ちます。

データ・アクセス API は、AppScan® ソース によって生成された評価結果へのアクセスを提供します。この評価結果には、検出結果、検出結果の詳細が含まれます。また、分析日時、コード行、V-density、検出結果の数などの評価の測定基準へのアクセスも提供します。

このセクションでは、Ounce/Maven プラグインについて説明します。このプラグインは、Apache ビルド・ツールである Maven を使用して、AppScan® ソース を Maven のワークフローに統合します。

Automation Server (ounceautod) では、ソフトウェア開発のライフサイクル (SDLC) 全体で AppScan® ソース ワークフローの重要な部分を自動化し、セキュリティーとビルド環境を統合できます。Automation Server では、スキャンして評価を公開する要求をキューに入れて、アプリケーション・コードのセキュリティーに関するレポートを生成できます。

AppScan® ソース には、アプリケーションで使用されているフレームワークに対するサポートを追加するための Java™ API のセットが用意されています。それらの API で提供されるクラスやメソッドを使用することで、組み込みのサポートが提供されていないフレームワークを考慮できます。

AppScan® Source for Analysis には、サンプル・アプリケーション サンプル・アプリケーションが含まれており、これを使用して製品に慣れることができます。

AppScan® ソース を最大限に活用するには、AppScan Source for Analysis の作業環境の基本概念と、現在のワークフローに最適なオプションの使用方法について理解する必要があります。

AppScan® Source for Development の各ビューおよびウィンドウは、検出結果を別の様式で表現します。これらのビューおよびウィンドウでは、コード編集がサポートされており、ワークベンチ内の情報をナビゲートすることができます。ビューは単独で表示される場合も、タブ付きのノートブック形式で他のビューと重なって表示される場合もあります。ビューを開いたり閉じたりすることによって、またビューを「ワークベンチ」ウィンドウ内のさまざまな位置に配置することによって、パースペクティブのレイアウトやウィンドウのレイアウトを変更できます。

共通脆弱性タイプ一覧 (CWE: Common Weakness Enumeration) は、公的に認識されているソフトウェアの脆弱性に関する一般名を提供する業界標準のリストです。このトピックでは、AppScan® ソース の現行バージョンでサポート対象の CWE ID を示します。

AppScan® Source for Development は、MobileFirst Platform Application Scanning としても配布されています。MobileFirst Platform Application Scanning を使用すると、既存の開発環境で作業を行いながら、IBM®MobileFirst Platform プロジェクトのセキュリティーの脆弱性を分析できます。セキュリティー分析は、ソース・コードの脆弱性を特定し、AppScan ソース・セキュリティー・ナレッジベース・データベースの修復支援機能を使用して脆弱性を完全に解消するのに役立ちます。

HCL® AppScan® ソース は、ソフトウェア・セキュリティーに携わる組織内のすべてのユーザーに対して、最大の価値を提供します。AppScan ソース 製品により、セキュリティー・アナリスト、品質保証専門家、開発者、経営幹部などの職種に関わらず、それぞれのユーザーが必要とする機能、柔軟性、処理能力がデスクトップで実現します。

AppScan® Source for Development プラグインは、AppScan Enterprise Serverの有無にかかわらず使用できます。サーバー・モードでは、以前の製品バージョンと同様に、スキャンを実行したり、共有データにアクセスしたりするために、サーバーに接続します。新しいローカル・モードでは、AppScan Source for Development は AppScan Enterprise Server に接続することなく実行されるため、ユーザーはフィルター、スキャン構成、およびカスタム・ルールなどの共有項目にアクセスできません。

AppScan® Source for Analysis で以前に作成された、パス変数に依存している評価またはバンドルを開くには、一致する変数を開発環境で作成する必要があります。変数を作成すると、複数のコンピューターでデータを使用できるようになります。評価データを共有するには、適切な変数を定義する必要があります。

スキャン対象のプロジェクトのタイプや実行するスキャンのタイプによっては、実行前にスキャンを構成することが必要な場合があります。例えば、デフォルトで設定されたコンパイラー以外の JDK コンパイラーまたは JSP コンパイラーを使用するようにプロジェクトを構成できます。

全般設定では、ユーザーの好みに合わせて、AppScan® Source for Development のデフォルト設定の一部を調整できます。

全般設定では、ユーザーの好みに合わせて、AppScan® Source for Development のデフォルト設定の一部を調整できます。

Eclipse または Rational® WebSphere® Software (RAD) のアプリケーション開発者 のワークスペース、プロジェクト、ファイルをスキャンすることができます。これには、Java™ (Android を含む)、JavaServer Pages (JSP)、および IBM®MobileFirst Platform プロジェクトのスキャンが含まれます。

AppScan® ソース は、ソース・コードをスキャンして脆弱性を検出し、検出結果を生成します。検出結果とは、スキャンによって検出された脆弱性のことです。スキャンの結果は、評価 と呼ばれます。保存済みの評価は、AppScan Source for Development または AppScan Source for Analysis から開くことができます。スキャンの終了後、この評価をファイルに保存できます。その後、この評価をいつでも開くことができます。評価は filename.ozasmt として保存されます。

検出結果を含むすべてのビュー (AppScan® Source for Analysis の「差分評価」ビューを除く) で、表示したい列と列順序のみを指定することで、検出結果表をカスタマイズできます。各ビューで異なる設定を使用できますが、オプションをすべてのビューに適用することもできます。列順序をカスタマイズするには、このタスク・トピックの手順に従ってください。

検出結果を含む複数のビューで、特定の検出結果を検索できます。検索基準には、バンドル、コード、ファイル、プロジェクト、または脆弱性タイプが含まれます。検出結果が「検索結果」ビューに表示されます。

変更された検出結果とは、脆弱性タイプ、分類、または重大度が変更された検出結果、あるいは注釈が付けられた検出結果です。「変更された検出結果」ビューには、現在のアプリケーション (アプリケーションの評価を開いた結果、アクティブになっているアプリケーション) について、これらの検出結果が表示されます。「自分の評価」ビュー ( AppScan® Source for Analysisでのみ使用可能) では、「変更済み」列に、検出結果が現在の評価で変更されたかどうかが示されます。

AppScan® ソース は、セキュリティー・エラーまたは一般的な設計上の障害について警告し、解決のプロセスを支援します。AppScan ソース・セキュリティー・ナレッジベース・データベースや、内部または外部のコード・エディターが、このプロセスで役立ちます。

スキャン後に、一部の検出結果が現在の作業に関係ないと判断した場合、スキャン結果のトリアージを行う際にその検出結果を検出結果表に表示しないようにします。これらの除外 (または除外された検出結果) は、「検出結果」ビューに表示されなくなり、評価メトリックは、変更された結果によって直ちに更新されます。構成に追加されたフィルターおよびバンドルの除外は、後続のスキャンに対してのみ実施されます。

AppScan® ソース には、フィルターを作成および使用するための方法が複数用意されています。フィルター作成用のメイン・ビューである「フィルター・エディター」ビューには一連の堅固なルールが備えられ、これらを手動で設定し、フィルターに保存できます。「フィルター・エディター」ビューには、作成済みのフィルターを管理するメカニズムも用意されています。これにより、フィルターを容易に変更または削除できます。また、検出結果をグラフィカルに表現するビューを使用して検出結果表をフィルタリングし、それらのフィルターを「フィルター・エディター」ビューで保存することもできます。フィルターを作成すると、他のビューもフィルター・プロパティーを反映するように更新されます。

コードの装飾に使用される一部の注釈および属性は、スキャン中に処理されます。スキャン中に、サポートされる注釈または属性がコード内で検出されると、装飾されたメソッドに、汚染されたコールバックとしてマークを付けるために、その情報が使用されます。汚染されたコールバックとしてマークされたメソッドは、すべての引数に汚染されたデータがあるものとして扱われます。その結果、トレースでより多くの検出結果が得られます。このヘルプ・トピックでは、サポートされる注釈および属性のリストを示します。

バンドル (検出結果をグループ化するメカニズム) を使用すると、AppScan® Source for Analysis から AppScan Source for Development に、検出結果のスナップショットをインポートすることができます。検出結果をバンドルにすると、AppScan Source for Development を使用して、バンドルが含まれたプロジェクトを開いたり、バンドルをインポートしたり、保存されたバンドル・ファイル (file_name.ozbdl) を開いたりできます。

AppScan® ソース トレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。

AppScan® Source for Development の各ビューおよびウィンドウは、検出結果を別の様式で表現します。これらのビューおよびウィンドウでは、コード編集がサポートされており、ワークベンチ内の情報をナビゲートすることができます。ビューは単独で表示される場合も、タブ付きのノートブック形式で他のビューと重なって表示される場合もあります。ビューを開いたり閉じたりすることによって、またビューを「ワークベンチ」ウィンドウ内のさまざまな位置に配置することによって、パースペクティブのレイアウトやウィンドウのレイアウトを変更できます。

AppScan® ソース をインストールすると、ユーザー・データ・ファイルおよび構成ファイルは、インストール・ディレクトリー以外の場所に保管されます。

共通脆弱性タイプ一覧 (CWE: Common Weakness Enumeration) は、公的に認識されているソフトウェアの脆弱性に関する一般名を提供する業界標準のリストです。このトピックでは、AppScan® ソース の現行バージョンでサポート対象の CWE ID を示します。

検出結果の自動トリアージと分析の詳細は、AppScan® ソース を参照してください。

トラブルシューティングとは、問題の原因を見つけて排除するプロセスです。IBM® ソフトウェアに問題が発生した際、「何が起きたのか」と考えたときにトラブルシューティング・プロセスは始まります。

お手持ちのリソースで、問題が解決されない場合は、HCL® ソフトウェア・サポートに連絡してください。HCL ソフトウェア・サポートでは、製品の問題解決に関する支援を行っています。