セキュリティー問題の解決と修復支援の表示

AppScan® ソース は、セキュリティー・エラーまたは一般的な設計上の障害について警告し、解決のプロセスを支援します。AppScan ソース・セキュリティー・ナレッジベース・データベースや、内部または外部のコード・エディターが、このプロセスで役立ちます。

このタスクについて

AppScan ソース・セキュリティー・ナレッジベース・データベース は、検出結果を修正する方法を提示します。それぞれの脆弱性についてのこのコンテキスト内情報によって、根本原因とリスクの重大度についての正確な説明、および実施可能な修復のアドバイスが提供されます。例えば strcpy() (バッファー・オーバーフロー・タイプ) について、重大度が高いものとして説明し、以下のような修復を支援する情報を提供します。

strcpy では、宛先バッファーでのオーバーフローが起こりやすくなります。宛先バッファーの長さがわからないため、宛先バッファーを上書きしてしまわないように確認する作業を実行できないためです。長さのパラメーターをとる strncpy の使用を検討してください。strncpy もセキュリティー上のリスクになりますが、程度はかなり低くなります。

AppScan ソース・セキュリティー・ナレッジベース・データベースを参照するには、以下のようにします。

手順

  • AppScan Source for Analysis で、「修復支援」ビューを開き、検出結果表内の 1 つの検出結果を選択します。その特定の検出結果の修復支援が表示されます。または、メインメニュー・バーから「ヘルプ」 > 「セキュリティー・ナレッジ・データベース」を選択して、ブラウザーで AppScan ソース・セキュリティー・ナレッジベース・データベース 全体を開きます。
  • AppScan Source for Development (Eclipse プラグイン) で、「修復支援」ビューを開き、検出結果表内の 1 つの検出結果を選択します。その特定の検出結果の修復支援が表示されます。
  • AppScan Source for Development (Visual Studio プラグイン) で、検出結果表内の 1 つの検出結果を選択します。メイン・メニュー・バーから「IBM Security AppScan Source」 > 「ナレッジ・データベース・ヘルプ (Knowledgebase Help)」を選択するか、検出結果を右クリックし、メニューから「ナレッジ・データベース・ヘルプ (Knowledgebase Help)」を選択します。これにより、選択した検出結果に対する修復支援が開きます。