ホーム
開発
製品を使用した開発方法について説明します。
トリアージおよび分析
類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® ソース評価のトリアージを行い、結果を分析する方法について説明します。
カスタム検出結果
分析結果を補強するために、カスタム検出結果を作成することができます。これはユーザーが作成する検出結果であり、AppScan® Source for Analysis が、現在開いている評価または選択されたアプリケーションにこの検出結果を追加します。カスタム検出結果は、評価のメトリックに影響します。また、レポートに含めることができます。作成したカスタム検出結果は、以降のアプリケーションのスキャンに自動的に含められます。
ソース・コード・エディターでのカスタム検出結果の作成

開発
製品を使用した開発方法について説明します。
- ソース・コードのスキャンおよび評価の管理
  このセクションでは、ソース・コードのスキャン方法および評価の管理方法について説明します。
- トリアージおよび分析
  類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® ソース評価のトリアージを行い、結果を分析する方法について説明します。
  - 検出結果の表示
    「検出結果」ビュー、または検出結果が含まれるすべてのビューで、スキャンごとに、「検出結果ツリー」(評価基準の階層グループ) と検出結果表が表示されます。検出結果ツリーで選択されている項目により、表に表示される検出結果が決まります。
  - AppScan® ソーストリアージ・プロセス
    トリアージ・プロセスには、バンドル、フィルター、および除外による検出結果の操作と、評価結果の比較が含まれます。
  - トリアージの例
    この例では、セキュリティー・アナリストが使用する AppScan® ソーストリアージ・ワークフローについて説明します。トリアージ・ワークフローは、ビジネス上の要求によって変わる場合があります。
  - フィルターを使用したトリアージ
    AppScan® Source for Analysis は、すべての潜在的なセキュリティーの脆弱性について報告するため、中規模から大規模のコード・ベースに適用した場合、膨大な量の検出結果を生成する可能性があります。スキャンを実行したときに、重要でない項目が検出結果のリストに含まれることもあります。「検出結果」ビューから特定の検出結果を削除するために、事前定義フィルターを選択するか、独自のフィルター を作成することができます。フィルターは、ビューから削除する検出結果を決定する基準を指定します。
  - 除外を使用したトリアージ
    スキャン後に、一部の検出結果が現在の作業に関係ないと判断した場合、スキャン結果のトリアージを行う際にその検出結果を検出結果表に表示しないようにします。これらの除外 (または除外された検出結果) は、「検出結果」ビューに表示されなくなり、評価メトリックは、変更された結果によって直ちに更新されます。構成に追加されたフィルターおよびバンドルの除外は、後続のスキャンに対してのみ実施されます。
  - バンドルの操作
    バンドル (検出結果をグループ化するメカニズム) を使用すると、AppScan® Source for Analysis から AppScan Source for Development に、検出結果のスナップショットをインポートすることができます。検出結果をバンドルにすると、AppScan Source for Development を使用して、バンドルが含まれたプロジェクトを開いたり、バンドルをインポートしたり、保存されたバンドル・ファイル (file_name.ozbdl) を開いたりできます。
  - 静的分析修正グループの使用
    修正グループは、静的分析スキャンで見つかった問題を管理、トリアージおよび解決するための新しいアプローチです。静的スキャンを実行すると、AppScan® ソースは問題を脆弱性タイプおよび必要な修復タスクに基づいて修正グループに整理します。
  - 検出結果の変更
    変更された検出結果とは、脆弱性タイプ、分類、または重大度が変更された検出結果、あるいは注釈が付けられた検出結果です。「変更された検出結果」ビューには、現在のアプリケーション (アプリケーションの評価を開いた結果、アクティブになっているアプリケーション) について、これらの検出結果が表示されます。「自分の評価」ビュー ( AppScan® Source for Analysisでのみ使用可能) では、「変更済み」列に、検出結果が現在の評価で変更されたかどうかが示されます。
  - 検出結果の比較
    「差分評価」アクションまたは AppScanDelta ユーティリティーを使用して、評価を比較します。2 つの評価を比較すると、両者の差異は「差分評価」ビューまたは .ozasmt ファイルに表示されます。結果では、新規、修正された/存在しない、および共通の検出結果が要約されます。
  - カスタム検出結果
    分析結果を補強するために、カスタム検出結果を作成することができます。これはユーザーが作成する検出結果であり、AppScan® Source for Analysis が、現在開いている評価または選択されたアプリケーションにこの検出結果を追加します。カスタム検出結果は、評価のメトリックに影響します。また、レポートに含めることができます。作成したカスタム検出結果は、以降のアプリケーションのスキャンに自動的に含められます。
    - 「プロパティー」ビューでのカスタム検出結果の作成
      アプリケーションの「プロパティー」ビューからカスタム検出結果を作成または編集すると、その影響は現在の評価結果と今後のスキャンに現れます。
    - 検出結果ビューでのカスタム検出結果の作成
      カスタム検出結果の作成または管理は、複数の検出結果ビュー (例えば、「検出結果」ビューや「カスタム検出結果」ビュー) で行うことができます。
    - ソース・コード・エディターでのカスタム検出結果の作成
  - セキュリティー問題の解決と修復支援の表示
    AppScan® ソースは、セキュリティー・エラーまたは一般的な設計上の障害について警告し、解決のプロセスを支援します。AppScan ソース・セキュリティー・ナレッジベース・データベースや、内部または外部のコード・エディターが、このプロセスで役立ちます。
  - サポートされる注釈と属性
    コードの装飾に使用される一部の注釈および属性は、スキャン中に処理されます。スキャン中に、サポートされる注釈または属性がコード内で検出されると、装飾されたメソッドに、汚染されたコールバックとしてマークを付けるために、その情報が使用されます。汚染されたコールバックとしてマークされたメソッドは、すべての引数に汚染されたデータがあるものとして扱われます。その結果、トレースでより多くの検出結果が得られます。このヘルプ・トピックでは、サポートされる注釈および属性のリストを示します。
- AppScan® ソーストレース
  AppScan® ソーストレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。
- AppScan® Source for Analysis および障害追跡
  AppScan® Source for Analysisは障害追跡システムIBM® Rational Team Concert™と統合されているため、確認されたソフトウェアの脆弱性を開発者のデスクトップに直接送信できます。障害追跡システムに送信される障害には、バグに関する説明文と、障害とともに送信される検出結果のみが記載されているファイルが含まれています。
- 検出結果レポートと監査レポート
  セキュリティー・アナリストおよびリスク・マネージャーは、選択された検出結果のレポート、またはソフトウェア・セキュリティーのベスト・プラクティスおよび法的要件へのコンプライアンスを測定するための一連の監査レポートにアクセスできます。このセクションでは、集約された検出結果データのレポートを作成する方法について説明します。
- カスタム・レポートの作成
  レポート・エディター内で、カスタム・レポートの生成に使用するレポート・テンプレートを作成します。

ソース・コード・エディターでのカスタム検出結果の作成

このタスクについて

ソース・コード・エディターでカスタム検出結果を追加する場合は、以下の条件が適用されます。

ソース・コード・エディターで表示されているソース・ファイルが現在開かれている評価に属している場合、カスタム検出結果はその評価および関連付けられているアプリケーションに追加されます。
カスタム検出結果が現在開かれている評価に属していない場合、カスタム検出結果はそのソース・ファイルが含まれるアプリケーションにのみ追加されます。
ソース・ファイルが複数のアプリケーションに属する場合、または AppScan® Source for Analysis がアプリケーションを判別できない場合、適切なアプリケーションを選択する必要があります。

ソース・コード・エディターでカスタム検出結果を作成する場合、「カスタム検出結果の作成」ダイアログ・ボックスに、エディターからの情報が事前に取り込まれます。

ファイル: 現在開かれているファイルの名前
コンテキスト: エディター内で選択されている任意のテキスト。テキストが選択されていない場合、カーソルが現在位置している行がコンテキストになります。複数の行が選択されている場合、選択されているすべての行がコンテキストになります。
「行」番号と「列」番号:Current® 「行」番号と「列」番号

エディターでカスタム検出結果を作成するには、以下の手順に従います。

手順

カスタム検出結果として追加するコード行を選択します。
選択項目を右クリックして、メニューから「カスタム検出結果の作成」を選択します。「カスタム検出結果の作成」ダイアログ・ボックスには、ファイル、コンテキスト、列番号、および行番号が取り込まれます。
「脆弱性タイプ」、「重大度」、「分類」を選択します。オプションで、API、注釈、およびバンドルの指定を追加します。
「OK」をクリックします。