重要な概念

AppScan® ソース の使用または管理を開始する前に、AppScan® ソース の基本的な概念についてよく理解しておく必要があります。このセクションでは、AppScan® ソース の基本的な用語と概念について定義します。これ以降の章では、こうした用語と概念の定義が繰り返して出てきます。この定義を参照することにより、これらの用語と概念が AppScan® Source for Analysis ではどのような意味を持つのかを理解することができます。

は、ソース・コードをAppScan® Source for Analysis スキャンして脆弱性を検出し、検出結果を生成します。検出結果とは、スキャンによって検出された脆弱性のことです。スキャンの結果は、評価 と呼ばれます。バンドル は、個別の検出結果の名前付きコレクションであり、アプリケーションとともに保管されます。

アプリケーション、アプリケーションの属性、およびプロジェクトは、AppScan® Source for Analysis で作成および編成されます。

  • アプリケーション: アプリケーションには、1 つ以上のプロジェクトと関連する属性が含まれています。
  • プロジェクト: プロジェクトは、一連のファイル (ソース・コードを含む) と、関連情報 (構成データなど) から構成されます。プロジェクトは、常に、アプリケーションの部分です。
  • 属性: 属性とは、スキャンの結果を意味のあるグループ (所属別やプロジェクト・リーダー別など) に編成する際に役立つアプリケーションの特性のことです。属性は AppScan® Source for Analysis で定義します。

AppScan® Source for Analysis の主な機能は、ソース・コードをスキャンして脆弱性を分析することです。評価によって、以下のような脆弱性に関するソース・コードの分析が得られます。

  • 重大度: リスクのレベルを示すための値 (高、中、低)。
  • 脆弱性タイプ: 脆弱性のカテゴリー (SQL 注入やバッファー・オーバーフローなど)。
  • ファイル: 検出結果が存在するコード・ファイル
  • API/ソース: 脆弱な呼出し (API とその API に渡される引数を表しています)。
  • メソッド: 脆弱な呼び出しを行っている関数またはメソッド。
  • 場所: 脆弱な API が含まれるコード・ファイル内の行番号と列番号。
  • 分類: セキュリティー検出結果またはスキャン範囲検出結果。詳しくは、分類を参照してください。