ホーム
プロダクト機能の拡張
製品の拡張方法について説明します。
HCL® AppScan® Source for Development (Eclipse プラグイン)
AppScan® Source for Development を使用すると、既存の開発環境で作業を行いながら、Java および IBM®MobileFirst Platform プロジェクトのセキュリティーの脆弱性を分析できます。セキュリティー分析は、ソース・コードの脆弱性を特定し、AppScan ソース・セキュリティー・ナレッジベース・データベースの修復支援機能を使用して脆弱性を完全に解消するのに役立ちます。
AppScan® ソーストレース
AppScan® ソーストレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。
入出力トレース
入出力トレース 情報は、既知のソースからシンク または逸失シンクへのデータを AppScan® Source for Analysis で追跡できる場合に生成されます。

入出力トレース

入出力トレース 情報は、既知のソースからシンク または逸失シンクへのデータを AppScan® Source for Analysis で追跡できる場合に生成されます。

入出力トレース

汚染されたソースからシンクまたは逸失シンクへのデータをコード分析によって追跡できる場合は、入出力トレース情報が生成されます。トレースの起点は、汚染源のソースからデータを受け取って、そのデータを保護されていないシンクに書き込むことになる一連の呼び出しに渡しているメソッドです。

ソースとシンク

ソース: ソースはプログラムへの入力で、ファイル、サーブレット要求、コンソール入力、ソケットなどがあります。ほとんどの入力ソースでは、返されるデータの内容や長さが制限されません。チェックされていない入力については、汚染されているものと見なされます。ソースは、すべての検出結果表の「ソース」列に表示されます。
シンク: シンクは、データの書き込み先になる、あらゆる外部フォーマットです。シンクの例としては、データベース、ファイル、コンソール出力、ソケットなどがあります。データをチェックせずにシンクに書き込むと、重大なセキュリティー脆弱性となる可能性があります。
逸失シンク: 逸失シンクとは、トレースできなくなった API メソッドのことです。