事前定義フィルターAppScan ソースの使用

AppScan® ソース には、スキャン結果をフィルタリングするために選択できる事前定義フィルター一式が含まれています。このヘルプ・トピックでは、すぐに使用可能なこれらのフィルターについて説明します。

注: AppScan ソース バージョン 8.8 では、より有用なスキャン結果が得られるように定義済みフィルターが改善されました。AppScan ソース の旧バージョンからの定義済みフィルターを引き続き使用する必要がある場合は (アーカイブ・フィルターのリストは AppScan ソース 事前定義フィルター (バージョン 8.7.x 以前)に記載されています)、アーカイブ済みの事前定義フィルターの復元の指示のとおりに行ってください。
注: AppScan Source for Development (Visual Studio プラグイン) では、このビューは「フィルターの編集」ウィンドウの一部です。

! - AppScan 厳選テスト

このフィルターは、最も危険な脆弱性カテゴリーの一部からの検出結果と一致します。結果は、「高」および「中」重大度の脆弱性に限定されます。特定のソースによる結果は、検出結果から削除されます。このフィルターに含まれる具体的な脆弱性カテゴリーは、以下のとおりです。

Vulnerability.CrossSiteScripting
Vulnerability.CrossSiteScripting.Reflected
Vulnerability.CrossSiteScripting.Stored
Vulnerability.Injection.OS
Vulnerability.Injection.LDAP
Vulnerability.Injection.SQL
Vulnerability.Injection.Mail

! - 高リスク・ソース

このフィルターによって、検索結果が、以下のいずれかのプロパティーを持つ特定の脆弱性タイプおよびソースに制限されます。

Technology.Communications.HTTP
Technology.Communications.IP
Technology.Communications.RCP
Technology.Communications.TCP
Technology.Communications.UDP
Technology.Communications.WebService 

! - 重要なタイプ

このフィルターでは、より広範囲の重要な脆弱性カテゴリーから取得した検出結果が含められます。検出結果は、「確定」または「要確認」に分類される重大度「高」と「中」のものに制限されます。このフィルターに含まれる具体的なカテゴリーは、以下のとおりです。

Vulnerability.AppDOS
Vulnerability.Authentication.Credentials.Unprotected
Vulnerability.BufferOverflow
Vulnerability.BufferOverflow.FormatString
Vulnerability.BufferOverflow.ArrayIndexOutOfBounds
Vulnerability.BufferOverflow.BufferSizeOutOfBounds
Vulnerability.BufferOverflow.IntegerOverflow
Vulnerability.BufferOverflow.Internal
Vulnerability.CrossSiteRequestForgery
Vulnerability.CrossSiteScripting
Vulnerability.CrossSiteScripting.Reflected
Vulnerability.CrossSiteScripting.Stored
Vulnerability.FileUpload
Vulnerability.Injection
Vulnerability.Injection.LDAP
Vulnerability.Injection.OS
Vulnerability.Injection.SQL
Vulnerability.Injection.XML
Vulnerability.Injection.XPath
Vulnerability.Malicious.EasterEgg
Vulnerability.Malicious.Trigger
Vulnerability.Malicious.Trojan
Vulnerability.PathTraversal
Vulnerability.Validation.EncodingRequired
Vulnerability.Validation.EncodingRequired.Struts

CWE SANS Top 25 2010 脆弱性

このフィルターは、2010 年の「CWE/SANS 最も危険なソフトウェア・エラー TOP 25」に関連する脆弱性タイプを対象としています。

2011 CWE/SANS 最も危険なソフトウェア・エラー TOP 25」について詳しくは、http://cwe.mitre.org/top25/ を参照してください。

外部通信

このフィルターは、アプリケーション外部や、ネットワークから得られる検出結果を一致させます。このフィルターは、Technology.Communications ソースに起因する検出結果を一致させます。

「低」重大度と「情報」

このフィルターでは、重大度が「低」で「情報」の検出結果が含められます。すべての分類 (確定、要確認、スキャン範囲) が含まれます。

ノイズ - 品質 (Noise - Quality)

このフィルターでは、品質のコーディング手法に関連する脆弱性タイプのみが結果に含められます。

OWASP Mobile Top 10 の脆弱性

このフィルターは、「Open Web Application Security Project (OWASP) Mobile Top 10 Release Candidate v1.0」リストに関連する脆弱性タイプを対象としています。

OWASP については、https://www.owasp.org/index.php/Main_Pageを参照してください。さまざまな OWASP 文書およびセキュリティー・リスクへのリンクは、https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project を参照してください。

OWASP Top 10 2010 脆弱性

このフィルターは、「Open Web Application Security Project (OWASP) Top 10 2010」リストに関連する脆弱性タイプを対象としています。

OWASP については、https://www.owasp.org/index.php/Main_Pageを参照してください。さまざまな OWASP 文書およびセキュリティー・リスクへのリンクは、https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project を参照してください。

OWASP Top 10 2013 脆弱性

このフィルターは、「Open Web Application Security Project (OWASP) Top 10 2013」リストに関連する脆弱性タイプを対象としています。

OWASP については、https://www.owasp.org/index.php/Main_Pageを参照してください。さまざまな OWASP 文書およびセキュリティー・リスクへのリンクは、https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project を参照してください。

PCI Data Security Standard の脆弱性

このフィルターは、クレジット・カード業界データ・セキュリティー基準 (PCI DSS) バージョン 3.2 の規格に関連する脆弱性タイプを対象としています。

詳しくは、https://www.pcisecuritystandards.org/security_standards/index.phpを参照してください。

スキャン範囲検出結果

このフィルターを適用すると、結果に、スキャン範囲検出結果のみが含まれます (詳しくは、分類を参照してください)。

対象となる脆弱性 - HTTP ソースの EncodingRequired

このフィルターは Validation.EncodingRequiredValidation.EncodingRequired.Struts の脆弱性カテゴリーからの検出結果を対象としています。Technology.Communications.HTTP ソースから得られる検出結果のみが含まれます。検出結果は、「確定」または「要確認」に分類される重大度「高」と「中」のものに制限されます。

対象となる脆弱性 - C/C++ シンクの Validation Required

このフィルターは、既知の C および C++ シンクのセットの Validation.Required 脆弱性を対象としています。検出結果は、「確定」または「要確認」に分類される重大度「高」と「中」のものに制限されます。

トラステッド・ソース

このフィルターでは、セッション・オブジェクトや要求属性など、特定のソースからのデータは安全であると仮定します。

トレースを含まない脆弱性 (Vulnerabilities with no trace)

このフィルターは、トレースを含まない脆弱性をリストします。