ホーム
開発
製品を使用した開発方法について説明します。
AppScan® ソーストレース
AppScan® ソーストレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。
AppScan® ソース・トレーススキャン結果
スキャンの結果には、AppScan® ソース・トレースによって検出されたトレース情報が含まれる場合があります。「トレース」列内のアイコンは、呼び出しグラフのトレース情報が存在することを示します。
検証とエンコード

開発
製品を使用した開発方法について説明します。
- ソース・コードのスキャンおよび評価の管理
  このセクションでは、ソース・コードのスキャン方法および評価の管理方法について説明します。
- トリアージおよび分析
  類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® ソース評価のトリアージを行い、結果を分析する方法について説明します。
- AppScan® ソーストレース
  AppScan® ソーストレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。
  - AppScan® ソース・トレーススキャン結果
    スキャンの結果には、AppScan® ソース・トレースによって検出されたトレース情報が含まれる場合があります。「トレース」列内のアイコンは、呼び出しグラフのトレース情報が存在することを示します。
    - 検証とエンコード
    - AppScan® ソース・トレースの検索
      トレースの検出結果をグループ化するときには、ソースまたはシンクを検索できます。これにより、トレースの検出結果が「検索結果」ビューに表示されます。
  - 入出力トレース
    入出力トレース 情報は、既知のソースからシンク または逸失シンクへのデータを AppScan® Source for Analysis で追跡できる場合に生成されます。
  - 「トレース」ビューの使用
  - 検証とエンコードの有効範囲
    「トレース」ビューから、カスタムの検証ルーチンとエンコード・ルーチン (AppScan® ソース・セキュリティー・ナレッジベース・データベースに格納されているルーチン) を指定することにより、データを汚染されたデータとしてではなくチェック済みデータとしてマークを付けることができます。これに該当するルーチンは、それらの有効範囲に基づいてカスタム・ルール・ウィザードで定義します。
  - AppScan® ソース・トレースによるカスタム・ルールの作成
    カスタム・ルールは「トレース」ビューから作成できます。カスタム・ルールにより、汚染伝播元のトレース、汚染の可能性のないトレース、またはシンクであるトレースを持つ検出結果をフィルター除外できますまた、トレース内のメソッドに検証/エンコード・ルーチンとしてのマークを付ける (または、それらが検証/エンコード・ルーチンでないことを示す) こともできます。
  - トレースのコード例
    このセクションでは、汚染されたデータをソースからシンクまで追跡するコード例と、検証ルーチンとエンコード・ルーチンを作成するコード例を示します。
- AppScan® Source for Analysis および障害追跡
  AppScan® Source for Analysisは障害追跡システムIBM® Rational Team Concert™と統合されているため、確認されたソフトウェアの脆弱性を開発者のデスクトップに直接送信できます。障害追跡システムに送信される障害には、バグに関する説明文と、障害とともに送信される検出結果のみが記載されているファイルが含まれています。
- 検出結果レポートと監査レポート
  セキュリティー・アナリストおよびリスク・マネージャーは、選択された検出結果のレポート、またはソフトウェア・セキュリティーのベスト・プラクティスおよび法的要件へのコンプライアンスを測定するための一連の監査レポートにアクセスできます。このセクションでは、集約された検出結果データのレポートを作成する方法について説明します。
- カスタム・レポートの作成
  レポート・エディター内で、カスタム・レポートの生成に使用するレポート・テンプレートを作成します。

検証とエンコード

検証とは、入力データの形式が正しいことを確認するためのチェック・プロセスです。検出結果 Validation.Required は、指定されたソースからシンクまでのデータ・パスで検証が発生しなかったことを示します。検証は、データを最大長以下に制限するような単純なものにすることも、完全な名前とアドレスをチェックするような複雑なものにすることもできます。また、検証は、SQL インジェクションなどの攻撃を可能にする不正な文字列を検出することによって攻撃を防ぐこともできます。

エンコード とは、データを正しい形式に変換するプロセスのことです。検出結果 Validation.EncodingRequired は、指定されたソースからシンクまでのデータ・パスでエンコードが発生しなかったことを示します。エンコードは、文字をエスケープするような単純なものにすることも、データを暗号化するような複雑なものにすることもできます。また、エンコードは、クロスサイト・スクリプティングなどの攻撃につながる文字をエスケープすることによって攻撃を防ぐこともできます。

最初にスキャンを実行すると、AppScan® ソースにより、検出結果が要注意セキュリティー検出結果として示されることがあります。特定のソースに適用される検証ルーチンまたはエンコード・ルーチンを作成した場合、ソースからデータを受信した後に、指定された検証ルーチンまたはエンコード・ルーチンを呼び出さないと、AppScan® Source for Analysis は、検出結果を確定 (要確認ではなく) として報告します。

評価は、プロジェクトを通して既知のソースからのデータを追跡します。既知のソースから既知のシンクへのデータを追跡可能な場合は、指定された検証ルーチンとエンコード・ルーチンが制限されていない入力データを使用した悪意のある攻撃が発生しないことを保証できます。