ホーム
開発
製品を使用した開発方法について説明します。
検出結果レポートと監査レポート
セキュリティー・アナリストおよびリスク・マネージャーは、選択された検出結果のレポート、またはソフトウェア・セキュリティーのベスト・プラクティスおよび法的要件へのコンプライアンスを測定するための一連の監査レポートにアクセスできます。このセクションでは、集約された検出結果データのレポートを作成する方法について説明します。
AppScan® ソースレポート

開発
製品を使用した開発方法について説明します。
- ソース・コードのスキャンおよび評価の管理
  このセクションでは、ソース・コードのスキャン方法および評価の管理方法について説明します。
- トリアージおよび分析
  類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® ソース評価のトリアージを行い、結果を分析する方法について説明します。
- AppScan® ソーストレース
  AppScan® ソーストレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。
- AppScan® Source for Analysis および障害追跡
  AppScan® Source for Analysisは障害追跡システムIBM® Rational Team Concert™と統合されているため、確認されたソフトウェアの脆弱性を開発者のデスクトップに直接送信できます。障害追跡システムに送信される障害には、バグに関する説明文と、障害とともに送信される検出結果のみが記載されているファイルが含まれています。
- 検出結果レポートと監査レポート
  セキュリティー・アナリストおよびリスク・マネージャーは、選択された検出結果のレポート、またはソフトウェア・セキュリティーのベスト・プラクティスおよび法的要件へのコンプライアンスを測定するための一連の監査レポートにアクセスできます。このセクションでは、集約された検出結果データのレポートを作成する方法について説明します。
  - 検出結果レポートの作成
  - AppScan® ソースレポート
    - AppScan® ソースカスタム・レポートの作成
    - CWE/SANS Top 25 2011 レポート
      CWE/SANS Top 25 2011 レポートは、「2011 CWE/SANS 最も危険なソフトウェア・エラー TOP 25」に基づいています。
    - DISA Application Security and Development STIG レポート
      このトピックでは、Defense Information Systems Agency (DISA) Application Security and Development Security Technical Implementation Guide (STIG) の Web サイトおよびガイダンス文書のリンクを示します。
    - Open Web Application Security Project (OWASP) Top 10 2013 および 2017 レポート
      このトピックでは、Open Web Application Security Project (OWASP) の Web サイトおよびガイダンス文書のリンクを示します。
    - Open Web Application Security Project (OWASP) Mobile Top 10 レポート
      このトピックでは、Open Web Application Security Project (OWASP) の Web サイトおよびガイダンス文書のリンクを示します。
    - Payment Card Industry Data Security Standard (PCI DSS) バージョン 3.2 レポート
    - Software Security Profile レポート
      Software Security Profile によって、アプリケーションのセキュリティーに直接関連するアプリケーションの特性の包括的な分析が提示されます。特定のプロジェクトにおけるソフトウェアの重要なセキュリティー機能の詳細な監査が示されます。このレポートは、ソフトウェアをデプロイメント用に認定する前に、暗号化、アクセス制御、ロギング、エラー処理などの要件の実装を検証するために役立ちます。
- カスタム・レポートの作成
  レポート・エディター内で、カスタム・レポートの生成に使用するレポート・テンプレートを作成します。

AppScan® ソースレポート

AppScan® ソースレポートは、ソフトウェア・セキュリティー・アナリスト、開発マネージャー、リスク管理監査員が、ソフトウェア・セキュリティーのベスト・プラクティスと法的要件との整合性を評価する際に役立ちます。AppScan® ソースレポートは、設定されたセキュリティー標準を重要なアプリケーションが満たしていることの確認に役立ちます。

AppScan® ソースでは、ソース・コードの脆弱性分析結果を活用して、コンプライアンスについての詳細な見取り図を示す一連のレポートを生成し、セキュリティー、開発、または監査のプロフェッショナルに提供します。

AppScan® ソースレポートには、以下の機能があります。

レポート・カード: 重要なカテゴリーごとのセキュリティー状態の要約ビューに関するレポート・カード
詳細な監査レビュー: 非順守検出結果の詳細な監査
ドリルダウン: さらなる分析と、修復および割り当ての優先順位付けのための非順守コードへの直接アクセス

AppScan® Source for Analysis は、以下に示すさまざまな AppScan® ソースレポートを生成します。

CWE/SANS Top 25 2011 レポート
DISA Application Security and Development STIG レポート
Open Web Application Security Project (OWASP) Mobile Top 10 レポート
Open Web Application Security Project (OWASP) Top 10 2013 および 2017 レポート
Payment Card Industry Data Security Standard (PCI DSS) バージョン 3.2 レポート
Software Security Profile レポート: すべての重要な脆弱性カテゴリーにおけるアプリケーションのセキュリティー状態の概要ビューを提供します。