カスタム・ルールの作成

「カスタム・ルール」ビューでは、カスタム・ルール・ウィザードを開くことができます。これは、カスタム・データベース・レコードの作成をガイドするツールです。カスタム・ルールを作成すると、作成したルールは「カスタム・ルール」ビューに表示されます。表にはシグニチャー、言語、および目的が表示されます。

プロジェクト固有の検証ルーチンとエンコード・ルーチンが「カスタム・ルール」ビューに表示されるのは、「エクスプローラー」ビューの「すべてのアプリケーション」の下のアプリケーション内に、ルールが適用されるプロジェクトが存在する場合のみです。

  • シグニチャー: シグニチャーは、完全修飾関数名です。例えば、 Java シグニチャーには、 com.test.vulnerable.VulnClass.vulnerable(java.lang.string;int):int.のように、引数タイプとリターン・タイプが含まれています。
  • 言語: C/C++、 Java、Visual Basic、Classic ASP、または .NET
  • 目的:Validation.EncodingRequired ルーチンなどの特定のメソッド、シンク、またはソース上のカスタム・レコード・タイプ。
ヒント: 繰り返しスキャンしてカスタム・ルールを追加してから、ソース・コードを変更せずにスキャンをやり直すことにより、コード・ベースの評価を精緻化する場合は、脆弱性分析キャッシュを使用するようにプロジェクト・プロパティーを設定することにより、スキャン時間を大幅に短縮することができます。これを行うには、プロジェクト・プロパティーで、「脆弱性分析キャッシュを有効にする」チェック・ボックスを選択します。プロジェクト・プロパティーの設定方法については、選択したプロジェクトの「概要」タブの使用方法に関する説明を参照してください。