セキュリティー・スキャンのためのプロジェクト・プロパティーの構成

セキュリティー・スキャンのための Java™ プロジェクトを構成するには、このトピックの説明に従ってください。

手順

  1. メイン・メニューから、「セキュリティー分析」 > 「スキャンの構成」 > 「セキュリティーのためのプロジェクト構成」の順に選択します。
  2. ワークスペースに複数のプロジェクトが含まれている場合は、「プロジェクトの選択」ダイアログ・ボックスが開きます。このダイアログ・ボックスで、構成するプロジェクトを選択して「OK」をクリックします。
  3. 「JDK の構成」をクリックして Java と JSP のコンパイラーを設定した後、スキャンに使用する JDK をリストから選択して指定します。デフォルトでは、「AdoptOpenJDK 11」 が使用されます。AppScan® ソース では 「JDK 1.8」(64 ビット) も選択できます。または、別の JDK を追加することもできます。代替 JDK を指定する場合は、64 ビットである必要があります。
    注: 製品に付属する JSP プロジェクトのデフォルト・コンパイラーは、Tomcat 7 です。これには、Java バージョン 1.6 以上が必要です。Tomcat 7 をデフォルトのまま使用している場合、古い JDK を選択すると、以下のスキャン中のコンパイル・エラーが発生します。
  4. JSP 設定: 以下のオプションを使用して、指定されたプロジェクトに必要な JSP 設定を構成します。
    表 1. JSP 設定
    オプション 説明
    Web コンテンツを含む このチェック・ボックスは、プロジェクトが JavaServer Pages を含む Web アプリケーションである場合に選択します。
    Web コンテキスト・ルート 「Web コンテキスト・ルート」を手動で選択するか、「検索」をクリックして検索します。「Web コンテキスト・ルート」は、ディレクトリーを含む 1 つの WAR ファイルまたは WEB-INF ディレクトリーです。Web コンテキスト・ルートは、有効な Web アプリケーションのルートである必要があります。
    JSP コンパイラーの使用 プロジェクトの「JSP コンパイラー」を選択します。製品に付属の Tomcat 7 が、デフォルトの JSP コンパイラー設定です (デフォルト JSP コンパイラーは「Java および JSP」設定ページで変更できます)。AppScan ソース でサポートされるコンパイラーについて詳しくは、システム要件およびインストールの前提条件 を参照してください。

    Apache Tomcat バージョン 7 および 8 は、AppScan ソース のインストール済み環境に含まれています。「Tomcat 7」および「Tomcat 8」設定ページが未構成の場合、AppScan ソース は、提供されている Tomcat JSP コンパイラー (現在デフォルトとしてマーク) を使用して JSP ファイルをコンパイルします。外部のサポート対象 Tomcat コンパイラーを使用する場合は、「Tomcat」設定ページを使用してローカルの Tomcat インストールを参照します。

    Oracle WebLogic サーバー または WebSphere® アプリケーション・サーバー を使用する場合は、適切な設定ページで、アプリケーション・サーバーのローカルのインストール済み環境を示すように構成して、分析時にそれを JSP コンパイルに使用できるようにする必要があります。この構成をまだ完了していない場合は、JSP コンパイラーの選択時に、構成を完了するように求めるメッセージが表示されます。メッセージ内の「はい」をクリックすると、該当する設定ページに進みます。「いいえ」をクリックすると、JSP コンパイラーの選択項目の隣に警告リンクが表示されます (リンクを選択すると、設定ページが開きます)。
  5. ファイル・エンコード: プロジェクト内のファイルの文字エンコードは、AppScan ソース がファイルを適切に読み取る (そして、例えば、それらを「ソース」ビューに正しく表示する) ことができるように設定する必要があります。デフォルトのファイル・エンコードは、AppScan ソース 設定ページで設定できます。
  6. プリスキャン・コンパイル最適化:
    • プリコンパイル済みクラス: スキャン中にコンパイルするのではなく、プリコンパイル済みの Java または JSP クラス・ファイルを使用します。このオプションを選択すると、ソース・ステージ・オプションが無効になります。
    • コンパイル・エラーの影響を最小化するためにソース・ファイルをステージする:AppScan ソース がステージング・ディレクトリーにソースをコピーするかどうかを制御します。

      「ディレクトリーと一致しないパッケージの修正」を選択すると、Java コンパイラーは各ソース・ファイルを開くことが必要になります。

      「各スキャン間のステージング領域のクリーンアップ」は、スキャンの前にコードの最新バージョンをコンパイルするようにします。これにより、結果の正確性を向上できます。ただし、このオプションを選択するとパフォーマンスが低下する可能性があります。