メインコンテンツにジャンプ
ようこそ
HCL® AppScan® ソース の文書へようこそ。
HCL® AppScan® ソース は、ソフトウェア・セキュリティーに携わる組織内のすべてのユーザーに対して、最大の価値を提供します。AppScan ソース 製品により、セキュリティー・アナリスト、品質保証専門家、開発者、経営幹部などの職種に関わらず、それぞれのユーザーが必要とする機能、柔軟性、処理能力がデスクトップで実現します。
AppScan® ソース の新機能
以下の、AppScan® ソース に追加された新機能と、このリリースで非推奨になった機能についての注意について説明します。
HCL® AppScan® ソース バージョン 10.0.2 Readme とリリース Notes®
現行バージョンの AppScan® ソース へのマイグレーション
このトピックには、このバージョンの AppScan® ソース で行われた変更についてのマイグレーション情報が記載されています。旧バージョンの AppScan ソース からアップグレードしている場合は、必ず、アップグレードしている AppScan ソース のバージョンと、この現行バージョンまでのすべてのバージョンにおける変更内容に注意してください。
重要な概念
AppScan® ソース の使用または管理を開始する前に、AppScan ソース の基本的な概念についてよく理解しておく必要があります。このセクションでは、AppScan ソース の基本的な用語と概念について定義します。これ以降の章では、こうした用語と概念の定義が繰り返して出てきます。この定義を参照することにより、これらの用語と概念が AppScan Source for Analysis ではどのような意味を持つのかを理解することができます。
AppScan® ソース のデプロイメント・モデル
このセクションでは、3 つの異なるデプロイメント・モデルと、各モデルを構成するコンポーネントについて説明します。
HCL® AppScan® Source for Analysis の概要
このセクションでは、AppScan® Source for Analysis を総合的な AppScan ソース ソリューションに合わせて調整する方法と、ソフトウェア・アシュアランス・ワークフローについて理解するための基礎知識について説明します。
AppScan® ソース 製品から AppScan® Enterprise Server へのログイン
大部分の AppScan® ソース 製品とコンポーネントでは、AppScan Enterprise Server への接続が必要です。このサーバーは、一元的ユーザー管理機能と、評価を共有するためのメカニズムを提供します。すべてのユーザー管理は AppScan Enterprise で行われます。
米国政府の規制の準拠
米国政府のセキュリティーおよび情報技術に関する規制を順守することは、販売の障害をなくすことにつながります。また、これにより HCL® が自社製品を業界内で最もセキュアなものにするべく取り組んでいるということを、世界中の見込み客に実証することができます。このトピックでは、AppScan® ソース がサポートする規格とガイドラインについて示します。
AppScan® ソース とアクセシビリティー
アクセシビリティーは、動作や視界に制約があるなど、身体に障害を持つユーザーに影響します。アクセシビリティーに問題があると、ソフトウェア製品の正常な使用に支障をきたすことがあります。このトピックでは、AppScan® ソース のアクセシビリティーに関する既知の問題と、その回避策について概要を説明します。
注意
著作権
製品のインストール方法について説明します。
システム要件およびインストールの前提条件
インストールのサンプル・シナリオ
AppScan® ソース をインストールする際には、適切なインストール・ワークフローに従う必要があります。以下のトピックでは、いくつかのインストールのサンプル・シナリオに含まれるワークフローに沿って説明します。
AppScan® ソース のアップグレード
拡張インストールとアクティブ化のトピック
このセクションでは、拡張インストール・オプションとアクティブ化の手順について説明します。
AppScan® ソース サイレント・インストーラー
AppScan® ソース カスタム・インストール・ウィザードは、サイレント・インストーラーの作成に使用されます。
ソフトウェアのアクティブ化
システムからの AppScan® ソース の削除
AppScan® ソース は、Windows™ コントロール・パネルから削除するか、または Linux™ のアンインストール・スクリプトを使用して削除できます。AppScan ソース のアンインストールでは、インストール済みの Oracle データベースの削除やバックアップは行われません。Oracle インスタンスから AppScan ソース ユーザーを削除することは、手動のデータベース管理タスクです。
製品の構成方法について説明します。
アプリケーションおよびプロジェクトの構成
スキャンの前に、アプリケーションとプロジェクトを構成する必要があります。このセクションでは、アプリケーション・ディスカバリー・アシスタント、新規アプリケーション・ウィザード、および新規プロジェクト・ウィザードについて説明します。AppScan® Source for Analysis の属性を構成する方法についても説明します。さらに、このセクションでは、スキャン用に既存のアプリケーションおよびプロジェクトを追加する方法と、プロジェクトにファイルを追加する方法についても説明します。
設定
設定は、AppScan® Source for Analysis の外観および操作についての個人の選択項目です。
製品の管理方法について説明します。
AppScan® ソース の管理
このセクションでは、ユーザー管理、許可、アプリケーションとプロジェクトの登録、およびポート構成について説明します。
ユーザー・アクティビティーの監査
AppScan® ソース は、ユーザー・アクティビティーを監査するための便利な機能を提供します。「監査」ビューでは、AppScan Enterprise Server に対する認証、新規ユーザーの作成、データベースでの新規ルールの作成などのイベントが記録されます。
AppScan® ソース 製品から AppScan® Enterprise Server へのログイン
大部分の AppScan® ソース 製品とコンポーネントでは、AppScan Enterprise Server への接続が必要です。このサーバーは、一元的ユーザー管理機能と、評価を共有するためのメカニズムを提供します。すべてのユーザー管理は AppScan Enterprise で行われます。
LDAP 統合
LDAP を介して認証される AppScan® ソース ユーザーを追加するには、LDAP リポジトリーを使用するように AppScan Enterprise Server ユーザー・リポジトリーを構成しておく必要があります。
AppScan® ソース に公開するためのアプリケーションおよびプロジェクトの登録
AppScan® ソース アプリケーションおよびプロジェクト・ファイル
AppScan® ソース のアプリケーションおよびプロジェクトには、スキャンおよびトリアージのカスタマイズに必要な構成情報を保守する対応ファイルがあります。プロジェクトをビルドするために必要な構成情報 (依存関係やコンパイラー・オプションなど) は、AppScan ソース がプロジェクトを正常にスキャンするために必要な構成情報と非常に似ているため、これらのファイルはソース・コードと同じディレクトリーに配置することをお勧めします。ベスト・プラクティスには、これらのファイルをソース・コントロール・システムで管理する方法があります。
ポート構成
製品を使用した開発方法について説明します。
ソース・コードのスキャンおよび評価の管理
このセクションでは、ソース・コードのスキャン方法および評価の管理方法について説明します。
トリアージおよび分析
類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® ソース 評価のトリアージを行い、結果を分析する方法について説明します。
AppScan® ソース トレース
AppScan® ソース トレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。
AppScan® Source for Analysis および障害追跡
AppScan® Source for Analysisは障害追跡システムIBM® Rational Team Concert™と統合されているため、確認されたソフトウェアの脆弱性を開発者のデスクトップに直接送信できます。障害追跡システムに送信される障害には、バグに関する説明文と、障害とともに送信される検出結果のみが記載されているファイルが含まれています。
検出結果レポートと監査レポート
セキュリティー・アナリストおよびリスク・マネージャーは、選択された検出結果のレポート、またはソフトウェア・セキュリティーのベスト・プラクティスおよび法的要件へのコンプライアンスを測定するための一連の監査レポートにアクセスできます。このセクションでは、集約された検出結果データのレポートを作成する方法について説明します。
カスタム・レポートの作成
レポート・エディター内で、カスタム・レポートの生成に使用するレポート・テンプレートを作成します。
製品の拡張方法について説明します。
脆弱性データベースとパターン・ルールのカスタマイズ
このセクションでは、脆弱性データベースをカスタマイズし、カスタマイズした脆弱性やその他のルーチンをスキャンに組み込む方法について説明します。
アプリケーション・サーバーのインポート・フレームワークの拡張
AppScan® ソース では、Apache Tomcat および WebSphere® アプリケーション・サーバー Liberty プロファイルから Java™ アプリケーションをインポートできます。このトピックで説明するように、アプリケーション・サーバーのインポート・フレームワークを拡張することにより、他のアプリケーションから Java アプリケーションをインポートできます。
HCL® AppScan® Source for Development (Eclipse プラグイン)
AppScan® Source for Development を使用すると、既存の開発環境で作業を行いながら、Java および IBM®MobileFirst Platform プロジェクトのセキュリティーの脆弱性を分析できます。セキュリティー分析は、ソース・コードの脆弱性を特定し、AppScan ソース・セキュリティー・ナレッジベース・データベースの修復支援機能を使用して脆弱性を完全に解消するのに役立ちます。
製品の参照情報を確認します。
Ounce/Make ビルド・ユーティリティー
Ounce/Make は、makefile を使用するビルド環境から AppScan® ソース への構成情報のインポートを自動化するツールです。Ounce/Make を使用すると、makefiles から構成情報を手動でインポートする必要がなくなります。
AppScan® Source コマンド行インターフェース (CLI)
CLI は、中核の AppScan® ソース 機能とのインターフェースです。
Ounce/Ant ビルド・ツール
このセクションでは、AppScan® ソース と Apache Ant を統合する AppScan ソース ビルド・ユーティリティーである、Ounce/Ant の使用方法について説明します。使用する Ant 環境に Ounce/Ant を統合すると、ビルドの自動化と評価のコード化に役立ちます。
AppScan® ソース のデータ・アクセス API
データ・アクセス API は、AppScan® ソース によって生成された評価結果へのアクセスを提供します。この評価結果には、検出結果、検出結果の詳細が含まれます。また、分析日時、コード行、V-density、検出結果の数などの評価の測定基準へのアクセスも提供します。
Ounce/Maven プラグイン
このセクションでは、Ounce/Maven プラグインについて説明します。このプラグインは、Apache ビルド・ツールである Maven を使用して、AppScan® ソース を Maven のワークフローに統合します。
AppScan® Source for Automation
Automation Server (ounceautod) では、ソフトウェア開発のライフサイクル (SDLC) 全体で AppScan® ソース ワークフローの重要な部分を自動化し、セキュリティーとビルド環境を統合できます。Automation Server では、スキャンして評価を公開する要求をキューに入れて、アプリケーション・コードのセキュリティーに関するレポートを生成できます。
Framework for Frameworks 処理 API
AppScan® ソース には、アプリケーションで使用されているフレームワークに対するサポートを追加するための Java™ API のセットが用意されています。それらの API で提供されるクラスやメソッドを使用することで、組み込みのサポートが提供されていないフレームワークを考慮できます。
AppScan® ソース クライアント・コンポーネント・エラー・メッセージ
AppScan® Source for Analysis サンプル
AppScan® Source for Analysis には、サンプル・アプリケーション サンプル・アプリケーションが含まれており、これを使用して製品に慣れることができます。
AppScan® Source for Analysis の作業環境
AppScan® ソース を最大限に活用するには、AppScan Source for Analysis の作業環境の基本概念と、現在のワークフローに最適なオプションの使用方法について理解する必要があります。
ビューとウィンドウ
AppScan® Source for Development の各ビューおよびウィンドウは、検出結果を別の様式で表現します。これらのビューおよびウィンドウでは、コード編集がサポートされており、ワークベンチ内の情報をナビゲートすることができます。ビューは単独で表示される場合も、タブ付きのノートブック形式で他のビューと重なって表示される場合もあります。ビューを開いたり閉じたりすることによって、またビューを「ワークベンチ」ウィンドウ内のさまざまな位置に配置することによって、パースペクティブのレイアウトやウィンドウのレイアウトを変更できます。
CWE サポート
共通脆弱性タイプ一覧 (CWE: Common Weakness Enumeration) は、公的に認識されているソフトウェアの脆弱性に関する一般名を提供する業界標準のリストです。このトピックでは、AppScan® ソース の現行バージョンでサポート対象の CWE ID を示します。
一般的な製品の用語について説明します。
問題のトラブルシューティングに役立つ自己解決用の情報リソースとツールが多数用意されています。
トラブルシューティング・プロセスの概要
トラブルシューティングとは、問題の原因を見つけて排除するプロセスです。IBM® ソフトウェアに問題が発生した際、「何が起きたのか」と考えたときにトラブルシューティング・プロセスは始まります。
HCL® ソフトウェア・サポートへの連絡
お手持ちのリソースで、問題が解決されない場合は、HCL® ソフトウェア・サポートに連絡してください。HCL ソフトウェア・サポートでは、製品の問題解決に関する支援を行っています。