ホーム
開発
製品を使用した開発方法について説明します。
トリアージおよび分析
類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® ソース評価のトリアージを行い、結果を分析する方法について説明します。
除外を使用したトリアージ
スキャン後に、一部の検出結果が現在の作業に関係ないと判断した場合、スキャン結果のトリアージを行う際にその検出結果を検出結果表に表示しないようにします。これらの除外 (または除外された検出結果) は、「検出結果」ビューに表示されなくなり、評価メトリックは、変更された結果によって直ちに更新されます。構成に追加されたフィルターおよびバンドルの除外は、後続のスキャンに対してのみ実施されます。
例: フィルター除外の指定
フィルター基準は、フィルターが、フィルターに一致する検出結果を除外するか、一致しない検出結果を除外するかを決定します。
例: API のフィルタリングおよび除外
検出結果の優先順位付けを行うときに、除外する必要がある特定の検出結果が存在する場合、トリアージ・プロセスの早い段階で一般的なトリアージのシナリオが発生する可能性があります。例えば、3 つの API が脅威ではないと判断し、それらの API を後続のスキャンから除外する場合があります。

開発
製品を使用した開発方法について説明します。
- ソース・コードのスキャンおよび評価の管理
  このセクションでは、ソース・コードのスキャン方法および評価の管理方法について説明します。
- トリアージおよび分析
  類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® ソース評価のトリアージを行い、結果を分析する方法について説明します。
  - 検出結果の表示
    「検出結果」ビュー、または検出結果が含まれるすべてのビューで、スキャンごとに、「検出結果ツリー」(評価基準の階層グループ) と検出結果表が表示されます。検出結果ツリーで選択されている項目により、表に表示される検出結果が決まります。
  - AppScan® ソーストリアージ・プロセス
    トリアージ・プロセスには、バンドル、フィルター、および除外による検出結果の操作と、評価結果の比較が含まれます。
  - トリアージの例
    この例では、セキュリティー・アナリストが使用する AppScan® ソーストリアージ・ワークフローについて説明します。トリアージ・ワークフローは、ビジネス上の要求によって変わる場合があります。
  - フィルターを使用したトリアージ
    AppScan® Source for Analysis は、すべての潜在的なセキュリティーの脆弱性について報告するため、中規模から大規模のコード・ベースに適用した場合、膨大な量の検出結果を生成する可能性があります。スキャンを実行したときに、重要でない項目が検出結果のリストに含まれることもあります。「検出結果」ビューから特定の検出結果を削除するために、事前定義フィルターを選択するか、独自のフィルター を作成することができます。フィルターは、ビューから削除する検出結果を決定する基準を指定します。
  - 除外を使用したトリアージ
    スキャン後に、一部の検出結果が現在の作業に関係ないと判断した場合、スキャン結果のトリアージを行う際にその検出結果を検出結果表に表示しないようにします。これらの除外 (または除外された検出結果) は、「検出結果」ビューに表示されなくなり、評価メトリックは、変更された結果によって直ちに更新されます。構成に追加されたフィルターおよびバンドルの除外は、後続のスキャンに対してのみ実施されます。
    - 除外の有効範囲
      除外は、すべてのアプリケーション (グローバル)、個別のアプリケーション、またはプロジェクトに適用されます。
    - 除外の指定
      検出結果には、検出結果表または「プロパティー」ビューから除外のマークを付けることができます。除外は、個別の検出結果、フィルター、またはバンドルで構成されます。通常、検出結果表から作成された除外は、直ちに有効になります。「プロパティー」ビューで作成された除外を有効にするには、追加のスキャンが必要です。
    - 検出結果表で検出結果に除外としてマークを付ける
    - 除外としてマークされた検出結果の再組み込み
      除外された検出結果は、「除外された検出結果」ビューに表示されます。このビューから、除外された検出結果を再度組み込むことができます。
    - 例: フィルター除外の指定
      フィルター基準は、フィルターが、フィルターに一致する検出結果を除外するか、一致しない検出結果を除外するかを決定します。
      - 例: ディレクトリーのフィルタリングおよび除外
        この例では、Microsoft™ include ファイルを含む検出結果のみを示すフィルターが作成されます。このフィルターは、後で検出結果を絞り込むために使用します (フィルターに一致するすべての検出結果を除外します)。
      - 例: API のフィルタリングおよび除外
        検出結果の優先順位付けを行うときに、除外する必要がある特定の検出結果が存在する場合、トリアージ・プロセスの早い段階で一般的なトリアージのシナリオが発生する可能性があります。例えば、3 つの API が脅威ではないと判断し、それらの API を後続のスキャンから除外する場合があります。
    - 「プロパティー」ビューからのバンドル除外の指定
      バンドル除外は、バンドル内の検出結果を除外します。除外できるのはアプリケーションからのバンドルのみです。
  - バンドルの操作
    バンドル (検出結果をグループ化するメカニズム) を使用すると、AppScan® Source for Analysis から AppScan Source for Development に、検出結果のスナップショットをインポートすることができます。検出結果をバンドルにすると、AppScan Source for Development を使用して、バンドルが含まれたプロジェクトを開いたり、バンドルをインポートしたり、保存されたバンドル・ファイル (file_name.ozbdl) を開いたりできます。
  - 静的分析修正グループの使用
    修正グループは、静的分析スキャンで見つかった問題を管理、トリアージおよび解決するための新しいアプローチです。静的スキャンを実行すると、AppScan® ソースは問題を脆弱性タイプおよび必要な修復タスクに基づいて修正グループに整理します。
  - 検出結果の変更
    変更された検出結果とは、脆弱性タイプ、分類、または重大度が変更された検出結果、あるいは注釈が付けられた検出結果です。「変更された検出結果」ビューには、現在のアプリケーション (アプリケーションの評価を開いた結果、アクティブになっているアプリケーション) について、これらの検出結果が表示されます。「自分の評価」ビュー ( AppScan® Source for Analysisでのみ使用可能) では、「変更済み」列に、検出結果が現在の評価で変更されたかどうかが示されます。
  - 検出結果の比較
    「差分評価」アクションまたは AppScanDelta ユーティリティーを使用して、評価を比較します。2 つの評価を比較すると、両者の差異は「差分評価」ビューまたは .ozasmt ファイルに表示されます。結果では、新規、修正された/存在しない、および共通の検出結果が要約されます。
  - カスタム検出結果
    分析結果を補強するために、カスタム検出結果を作成することができます。これはユーザーが作成する検出結果であり、AppScan® Source for Analysis が、現在開いている評価または選択されたアプリケーションにこの検出結果を追加します。カスタム検出結果は、評価のメトリックに影響します。また、レポートに含めることができます。作成したカスタム検出結果は、以降のアプリケーションのスキャンに自動的に含められます。
  - セキュリティー問題の解決と修復支援の表示
    AppScan® ソースは、セキュリティー・エラーまたは一般的な設計上の障害について警告し、解決のプロセスを支援します。AppScan ソース・セキュリティー・ナレッジベース・データベースや、内部または外部のコード・エディターが、このプロセスで役立ちます。
  - サポートされる注釈と属性
    コードの装飾に使用される一部の注釈および属性は、スキャン中に処理されます。スキャン中に、サポートされる注釈または属性がコード内で検出されると、装飾されたメソッドに、汚染されたコールバックとしてマークを付けるために、その情報が使用されます。汚染されたコールバックとしてマークされたメソッドは、すべての引数に汚染されたデータがあるものとして扱われます。その結果、トレースでより多くの検出結果が得られます。このヘルプ・トピックでは、サポートされる注釈および属性のリストを示します。
- AppScan® ソーストレース
  AppScan® ソーストレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。
- AppScan® Source for Analysis および障害追跡
  AppScan® Source for Analysisは障害追跡システムIBM® Rational Team Concert™と統合されているため、確認されたソフトウェアの脆弱性を開発者のデスクトップに直接送信できます。障害追跡システムに送信される障害には、バグに関する説明文と、障害とともに送信される検出結果のみが記載されているファイルが含まれています。
- 検出結果レポートと監査レポート
  セキュリティー・アナリストおよびリスク・マネージャーは、選択された検出結果のレポート、またはソフトウェア・セキュリティーのベスト・プラクティスおよび法的要件へのコンプライアンスを測定するための一連の監査レポートにアクセスできます。このセクションでは、集約された検出結果データのレポートを作成する方法について説明します。
- カスタム・レポートの作成
  レポート・エディター内で、カスタム・レポートの生成に使用するレポート・テンプレートを作成します。

例: API のフィルタリングおよび除外

検出結果の優先順位付けを行うときに、除外する必要がある特定の検出結果が存在する場合、トリアージ・プロセスの早い段階で一般的なトリアージのシナリオが発生する可能性があります。例えば、3 つの API が脅威ではないと判断し、それらの API を後続のスキャンから除外する場合があります。

手順

フィルター・エディターの「API」セクションで「追加」をクリックし、3 つの API を選択します。
「制限」を選択します。
フィルターを保存して名前を付けます。
「構成」パースペクティブに戻り、「エクスプローラー」ビューで、プロジェクト (またはアプリケーション) を選択します。
「プロパティー」ビューで、フィルターの動作が逆になるように設定します (「フィルターの選択」ダイアログ・ボックスで「フィルターの反転 (Invert filter)」を選択します)。
再度スキャンを行います。フィルターに含まれる API は、検出結果に表示されなくなります。

タスクの結果

同じ例を使用して、フィルターに含まれる検出結果のみを表示することもできます。この例では、フィルターをリストに追加する際に、「フィルターの反転 (Invert filter)」は選択しないでください。再度スキャンを行うと、フィルターに含まれる検出結果のみが表示されます。