ホーム
開発
製品を使用した開発方法について説明します。
AppScan® ソーストレース
AppScan® ソーストレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。
検証とエンコードの有効範囲
「トレース」ビューから、カスタムの検証ルーチンとエンコード・ルーチン (AppScan® ソース・セキュリティー・ナレッジベース・データベースに格納されているルーチン) を指定することにより、データを汚染されたデータとしてではなくチェック済みデータとしてマークを付けることができます。これに該当するルーチンは、それらの有効範囲に基づいてカスタム・ルール・ウィザードで定義します。

開発
製品を使用した開発方法について説明します。
- ソース・コードのスキャンおよび評価の管理
  このセクションでは、ソース・コードのスキャン方法および評価の管理方法について説明します。
- トリアージおよび分析
  類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® ソース評価のトリアージを行い、結果を分析する方法について説明します。
- AppScan® ソーストレース
  AppScan® ソーストレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。
  - AppScan® ソース・トレーススキャン結果
    スキャンの結果には、AppScan® ソース・トレースによって検出されたトレース情報が含まれる場合があります。「トレース」列内のアイコンは、呼び出しグラフのトレース情報が存在することを示します。
  - 入出力トレース
    入出力トレース 情報は、既知のソースからシンク または逸失シンクへのデータを AppScan® Source for Analysis で追跡できる場合に生成されます。
  - 「トレース」ビューの使用
  - 検証とエンコードの有効範囲
    「トレース」ビューから、カスタムの検証ルーチンとエンコード・ルーチン (AppScan® ソース・セキュリティー・ナレッジベース・データベースに格納されているルーチン) を指定することにより、データを汚染されたデータとしてではなくチェック済みデータとしてマークを付けることができます。これに該当するルーチンは、それらの有効範囲に基づいてカスタム・ルール・ウィザードで定義します。
  - AppScan® ソース・トレースによるカスタム・ルールの作成
    カスタム・ルールは「トレース」ビューから作成できます。カスタム・ルールにより、汚染伝播元のトレース、汚染の可能性のないトレース、またはシンクであるトレースを持つ検出結果をフィルター除外できますまた、トレース内のメソッドに検証/エンコード・ルーチンとしてのマークを付ける (または、それらが検証/エンコード・ルーチンでないことを示す) こともできます。
  - トレースのコード例
    このセクションでは、汚染されたデータをソースからシンクまで追跡するコード例と、検証ルーチンとエンコード・ルーチンを作成するコード例を示します。
- AppScan® Source for Analysis および障害追跡
  AppScan® Source for Analysisは障害追跡システムIBM® Rational Team Concert™と統合されているため、確認されたソフトウェアの脆弱性を開発者のデスクトップに直接送信できます。障害追跡システムに送信される障害には、バグに関する説明文と、障害とともに送信される検出結果のみが記載されているファイルが含まれています。
- 検出結果レポートと監査レポート
  セキュリティー・アナリストおよびリスク・マネージャーは、選択された検出結果のレポート、またはソフトウェア・セキュリティーのベスト・プラクティスおよび法的要件へのコンプライアンスを測定するための一連の監査レポートにアクセスできます。このセクションでは、集約された検出結果データのレポートを作成する方法について説明します。
- カスタム・レポートの作成
  レポート・エディター内で、カスタム・レポートの生成に使用するレポート・テンプレートを作成します。

検証とエンコードの有効範囲

「トレース」ビューから、カスタムの検証ルーチンとエンコード・ルーチン (AppScan® ソース・セキュリティー・ナレッジベース・データベースに格納されているルーチン) を指定することにより、データを汚染されたデータとしてではなくチェック済みデータとしてマークを付けることができます。これに該当するルーチンは、それらの有効範囲に基づいてカスタム・ルール・ウィザードで定義します。

検証ルーチンとエンコード・ルーチンを作成する手順については、例 4: 詳細な検証を参照してください。

検証ルーチンまたはエンコード・ルーチンは、有効範囲に基づいており、次のように定義されます。

API 単位
呼び出しサイト単位

API 単位

API 単位の検証ルーチンとエンコード・ルーチンは、1 つまたは複数のプロジェクトに関連付けることができます。

API 単位のルーチンは、特定のソース API のすべてのインスタンスから受け取ったデータを汚染除去します。たとえば、次の API からの入力に対して検証ルーチンを指定することができます。

javax.servlet.ServletRequest.getParameter
(java.lang.string):java.lang.string

API 単位のルーチンはサーバーに保存されます。プロジェクトの API 単位のルーチンはプロジェクトに保存されます。

呼び出しサイト単位

呼び出しサイト単位のルーチンは、常に、1 つのプロジェクトに関連付けられます。

呼び出しサイト単位のルーチンは、コード内の特定の位置から受け取ったデータを汚染除去します。呼び出しサイト単位の検証ルーチンまたはエンコード・ルーチンを作成するときに、そのルーチンが特定の入力呼び出しサイトに適用されることを指定します。呼び出しサイト単位のルーチンは、常に、プロジェクトに保存されます。

注: 呼び出しサイト単位は、同じメソッド内の検証ルーチンに対するすべての呼び出しに適用されます。