「トレース」ビュー

AppScan® ソース は、入出力の分析を実行し、それらの脆弱性を特定して表示します。AppScan ソース トレース・グラフを含む行を示すアイコンが、検出結果リストに表示されます。

「トレース」ビューには、ルート・ノードが表示されます。ここで入力スタックと出力スタックが一緒になります。入力スタックは、汚染されたデータを提供することが分かっているソース につながる一連の呼び出しです。出力スタックは、シンク につながる一連の呼び出しです。AppScan ソース トレースは、分析されたコードが、保護されていないシンクへの保護されていないソースの使用を追跡できる場合に生成されます。

  • ソース: ソースはプログラムへの入力で、ファイル、サーブレット要求、コンソール入力、ソケットなどがあります。ほとんどの入力ソースでは、返されるデータの内容や長さが制限されません。チェックされていない入力については、汚染されているものと見なされます。ソースは、すべての検出結果表の「ソース」列に表示されます。
  • シンク: シンクは、データの書き込み先になる、あらゆる外部フォーマットです。シンクの例としては、データベース、ファイル、コンソール出力、ソケットなどがあります。データをチェックせずにシンクに書き込むと、重大なセキュリティー脆弱性となる可能性があります。
  • 逸失シンク: 逸失シンクとは、トレースできなくなった API メソッドのことです。

この図は、入力スタックおよび出力スタックを通じたルートからの呼び出しシーケンスを示しています。


入力スタックおよび出力スタックを通じたルートからの呼び出しシーケンス

図では以下のようになっています。

  • 塗りつぶしなしの矢印は、既知の汚染されたデータ・フローを含まない呼び出しを示します。
  • 塗りつぶされた矢印は、汚染されている可能性のあるデータを含みます。破線は戻りパスを示します。
  • Solid® 線はメソッド呼び出しを表します。
ヒント:
  • 「トレース」ビューで、グラフ内のトレース・ノードの上にマウスを移動すると、そのノードに関する情報が表示されます。
  • ビュー内の 2 つの左パネル (入力/出力スタック・パネルとデータ・フロー・パネル) は、省略表示することによって、グラフィック呼び出しグラフが見やすくなります。これらのパネルを省略表示するには、「ツリー・ビューの非表示」矢印ボタンを選択してください。非表示になったこれらのパネルを表示するには、「ツリー・ビューの表示」矢印ボタンを選択します。
  • スクロール・バーを動かして、詳細にズームインして集中するか、ズームアウトして表示数を増やします。ズーム・スクロール・バーの上にマウス・カーソルを移動すると、現在のズーム・レベルが表示されます。最大レベルまでズームインするには、「ズーム率 200%」をクリックします。可能な限りズームアウトするには、「適合ズーム」をクリックします。