HCL®AppScan® ソース は、ソフトウェア・セキュリティーに携わる組織内のすべてのユーザーに対して、最大の価値を提供します。AppScan ソース 製品により、セキュリティー・アナリスト、品質保証専門家、開発者、経営幹部などの職種に関わらず、それぞれのユーザーが必要とする機能、柔軟性、処理能力がデスクトップで実現します。

AppScan® ソース の使用または管理を開始する前に、AppScan ソース の基本的な概念についてよく理解しておく必要があります。このセクションでは、AppScan ソース の基本的な用語と概念について定義します。これ以降の章では、こうした用語と概念の定義が繰り返して出てきます。この定義を参照することにより、これらの用語と概念が AppScan Source for Analysis ではどのような意味を持つのかを理解することができます。

このセクションでは、AppScan® Source for Analysis を総合的な AppScan ソース ソリューションに合わせて調整する方法と、ソフトウェア・アシュアランス・ワークフローについて理解するための基礎知識について説明します。

大部分の AppScan® ソース 製品とコンポーネントでは、AppScan Enterprise Server への接続が必要です。このサーバーは、一元的ユーザー管理機能と、評価を共有するためのメカニズムを提供します。すべてのユーザー管理は AppScan Enterprise で行われます。

米国政府のセキュリティーおよび情報技術に関する規制を順守することは、販売の障害をなくすことにつながります。また、これにより HCL® が自社製品を業界内で最もセキュアなものにするべく取り組んでいるということを、世界中の見込み客に実証することができます。このトピックでは、AppScan® ソース がサポートする規格とガイドラインについて示します。

アクセシビリティーは、動作や視界に制約があるなど、身体に障害を持つユーザーに影響します。アクセシビリティーに問題があると、ソフトウェア製品の正常な使用に支障をきたすことがあります。このトピックでは、AppScan® ソース のアクセシビリティーに関する既知の問題と、その回避策について概要を説明します。

このセクションでは、3 つの異なるデプロイメント・モデルと、各モデルを構成するコンポーネントについて説明します。

AppScan® ソース をインストールする際には、適切なインストール・ワークフローに従う必要があります。以下のトピックでは、いくつかのインストールのサンプル・シナリオに含まれるワークフローに沿って説明します。

このセクションでは、拡張インストール・オプションとアクティブ化の手順について説明します。

AppScan® ソース カスタム・インストール・ウィザードは、サイレント・インストーラーの作成に使用されます。

AppScan® ソース は、Windows™ コントロール・パネルから削除するか、または Linux™ のアンインストール・スクリプトを使用して削除できます。AppScan ソース のアンインストールでは、インストール済みの Oracle データベースの削除やバックアップは行われません。Oracle インスタンスから AppScan ソース ユーザーを削除することは、手動のデータベース管理タスクです。

スキャンの前に、アプリケーション、フォルダー、プロジェクトを構成する必要があります。このセクションでは、アプリケーション・ディスカバリー・アシスタント、新規アプリケーション・ウィザード、新規フォルダー、ウィザード、新規プロジェクト・ウィザードについて説明します。AppScan® Source for Analysis の属性を構成する方法についても説明します。さらに、このセクションでは、スキャン用に既存のアプリケーションおよびプロジェクトを追加する方法と、プロジェクトにファイルを追加する方法についても説明します。

設定は、AppScan® Source for Analysis の外観および操作についての個人の選択項目です。

このセクションでは、ユーザー管理、許可、アプリケーションとプロジェクトの登録、およびポート構成について説明します。

AppScan® ソース は、ユーザー・アクティビティーを監査するための便利な機能を提供します。「監査」ビューでは、AppScan Enterprise Server に対する認証、新規ユーザーの作成、データベースでの新規ルールの作成などのイベントが記録されます。

大部分の AppScan® ソース 製品とコンポーネントでは、AppScan Enterprise Server への接続が必要です。このサーバーは、一元的ユーザー管理機能と、評価を共有するためのメカニズムを提供します。すべてのユーザー管理は AppScan Enterprise で行われます。

LDAP を介して認証される AppScan® ソース ユーザーを追加するには、LDAP リポジトリーを使用するように AppScan Enterprise Server ユーザー・リポジトリーを構成しておく必要があります。

AppScan® ソース のアプリケーション、フォルダー、プロジェクトには、スキャンおよびトリアージのカスタマイズに必要な構成情報を保守する対応ファイルがあります。プロジェクトをビルドするために必要な構成情報 (依存関係やコンパイラー・オプションなど) は、AppScan ソース がプロジェクトを正常にスキャンするために必要な構成情報と非常に似ているため、これらのファイルはソース・コードと同じディレクトリーに配置することをお勧めします。ベスト・プラクティスには、これらのファイルをソース・コントロール・システムで管理する方法があります。

Eclipse のワークスペース、プロジェクト、またはファイルをスキャンすることができます。これには、Java™ (Android を含む)、JavaServer Pages (JSP)、および IBM® MobileFirst Platform プロジェクトのスキャンが含まれます。

「マイ評価」ビューには、評価 (現在開かれている評価と、自分が保存した評価) のリストが表示されます。このビューでは、評価を開く、削除する、保存する、名前変更する、または比較する操作を実行できます。スキャンが完了するか、保存済みの評価を開くと、「マイ評価」ビューに評価が表示されます。「マイ評価」には、開いているか保存済みの評価の表が表示され、公開済みまたは変更済みの評価が識別されます。このビューから評価を削除すると (評価の保存や公開なしに)、その評価は完全に削除されます。

HCL Cloud Marketplace で HCL AppScan on Cloud をサブスクリプションを所有している場合、AppScan® ソース 評価結果をそこに送信して分析できます。AppScan ソース バージョン 9.0 以上からの評価がサポートされます。送信できるスキャンの数は、AppScan on Cloud サブスクリプションによって異なります。

AppScan® ソース には、2 つの公開オプションが用意されています。評価を保管および共有するためには、評価を AppScan ソース・データベースに公開することができます。また、ご使用の AppScan Enterprise Server が Enterprise Console オプションを指定してインストールされている場合は、Enterprise Console に評価を公開することができます。AppScan Enterprise Console は、レポート機能、問題管理、トレンド分析、ダッシュボードなど、評価に関する作業を行うためのさまざまなツールを備えています。

AppScan® ソース は、ソース・コードをスキャンして脆弱性を検出し、検出結果を生成します。検出結果とは、スキャンによって検出された脆弱性のことです。スキャンの結果は、評価 と呼ばれます。保存済みの評価は、AppScan Source for Development または AppScan Source for Analysis から開くことができます。スキャンの終了後、この評価をファイルに保存できます。その後、この評価をいつでも開くことができます。評価は filename.ozasmt として保存されます。

「マイ評価」ビューから評価を削除しても、ローカル・ファイル・システムからは削除されません。ビューから評価を削除した場合、その評価を「評価を開く」アクションで再度追加することができます。

評価またはバンドルを保存するとき、または評価を公開するときに、絶対パスを置換する変数を作成するように AppScan® Source for Analysis から提示されることがあります (変数がない場合、AppScan Source for Analysis は、ソース・ファイルなどの項目を参照するための絶対パスを評価ファイルに書き込みます)。絶対パスの変数を構成すると、複数のコンピューターで評価が容易に共有できるようになります。評価を共有する場合は、変数を使用することをお勧めします。

「検出結果」ビュー、または検出結果が含まれるすべてのビューで、スキャンごとに、「検出結果ツリー」(評価基準の階層グループ) と検出結果表が表示されます。検出結果ツリーで選択されている項目により、表に表示される検出結果が決まります。

トリアージ・プロセスには、バンドル、フィルター、および除外による検出結果の操作と、評価結果の比較が含まれます。

この例では、セキュリティー・アナリストが使用する AppScan® ソース トリアージ・ワークフローについて説明します。トリアージ・ワークフローは、ビジネス上の要求によって変わる場合があります。

AppScan® Source for Analysis は、すべての潜在的なセキュリティーの脆弱性について報告するため、中規模から大規模のコード・ベースに適用した場合、膨大な量の検出結果を生成する可能性があります。スキャンを実行したときに、重要でない項目が検出結果のリストに含まれることもあります。「検出結果」ビューから特定の検出結果を削除するために、事前定義フィルターを選択するか、独自のフィルター を作成することができます。フィルターは、ビューから削除する検出結果を決定する基準を指定します。

スキャン後に、一部の検出結果が現在の作業に関係ないと判断した場合、スキャン結果のトリアージを行う際にその検出結果を検出結果表に表示しないようにします。これらの除外 (または除外された検出結果) は、「検出結果」ビューに表示されなくなり、評価メトリックは、変更された結果によって直ちに更新されます。構成に追加されたフィルターおよびバンドルの除外は、後続のスキャンに対してのみ実施されます。

バンドル (検出結果をグループ化するメカニズム) を使用すると、AppScan® Source for Analysis から AppScan Source for Development に、検出結果のスナップショットをインポートすることができます。検出結果をバンドルにすると、AppScan Source for Development を使用して、バンドルが含まれたプロジェクトを開いたり、バンドルをインポートしたり、保存されたバンドル・ファイル (file_name.ozbdl) を開いたりできます。

修正グループは、静的分析スキャンで見つかった問題を管理、トリアージおよび解決するための新しいアプローチです。静的スキャンを実行すると、AppScan® ソース は問題を脆弱性タイプおよび必要な修復タスクに基づいて修正グループに整理します。

変更された検出結果とは、脆弱性タイプ、分類、または重大度が変更された検出結果、あるいは注釈が付けられた検出結果です。「変更された検出結果」ビューには、現在のアプリケーション (アプリケーションの評価を開いた結果、アクティブになっているアプリケーション) について、これらの検出結果が表示されます。「自分の評価」ビュー ( AppScan® Source for Analysisでのみ使用可能) では、「変更済み」列に、検出結果が現在の評価で変更されたかどうかが示されます。

「差分評価」アクションまたは AppScanDelta ユーティリティーを使用して、評価を比較します。2 つの評価を比較すると、両者の差異は「差分評価」ビューまたは .ozasmt ファイルに表示されます。結果では、新規、修正された/存在しない、および共通の検出結果が要約されます。

分析結果を補強するために、カスタム検出結果を作成することができます。これはユーザーが作成する検出結果であり、AppScan® Source for Analysis が、現在開いている評価または選択されたアプリケーションにこの検出結果を追加します。カスタム検出結果は、評価のメトリックに影響します。また、レポートに含めることができます。作成したカスタム検出結果は、以降のアプリケーションのスキャンに自動的に含められます。

AppScan® ソース は、セキュリティー・エラーまたは一般的な設計上の障害について警告し、解決のプロセスを支援します。AppScan ソース・セキュリティー・ナレッジベース・データベースや、内部または外部のコード・エディターが、このプロセスで役立ちます。

コードの装飾に使用される一部の注釈および属性は、スキャン中に処理されます。スキャン中に、サポートされる注釈または属性がコード内で検出されると、装飾されたメソッドに、汚染されたコールバックとしてマークを付けるために、その情報が使用されます。汚染されたコールバックとしてマークされたメソッドは、すべての引数に汚染されたデータがあるものとして扱われます。その結果、トレースでより多くの検出結果が得られます。このヘルプ・トピックでは、サポートされる注釈および属性のリストを示します。

AppScan® ソース トレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。

レポート・エディター内で、カスタム・レポートの生成に使用するレポート・テンプレートを作成します。

スキャンの検出結果リストから、検出結果を CSV または SARIF 形式でエクスポートします。

このセクションでは、脆弱性データベースをカスタマイズし、カスタマイズした脆弱性やその他のルーチンをスキャンに組み込む方法について説明します。

AppScan® ソース では、Apache Tomcat および WebSphere® アプリケーション・サーバー Liberty プロファイルから Java™ アプリケーションをインポートできます。このトピックで説明するように、アプリケーション・サーバーのインポート・フレームワークを拡張することにより、他のアプリケーションから Java アプリケーションをインポートできます。

AppScan® Source for Development を使用すると、既存の開発環境で作業を行いながら、Java および IBM® MobileFirst Platform プロジェクトのセキュリティーの脆弱性を分析できます。セキュリティー分析は、ソース・コードの脆弱性を特定し、AppScan ソース・セキュリティー・ナレッジベース・データベースの修復支援機能を使用して脆弱性を完全に解消するのに役立ちます。

Ounce/Make は、makefile を使用するビルド環境から AppScan® ソース への構成情報のインポートを自動化するツールです。Ounce/Make を使用すると、makefiles から構成情報を手動でインポートする必要がなくなるため、プロジェクトを構成する際にはこの方法をお勧めします。

CLI は、中核の AppScan® ソース 機能とのインターフェースです。

このセクションでは、AppScan® ソース と Apache Ant を統合する AppScan ソース ビルド・ユーティリティーである、Ounce/Ant の使用方法について説明します。使用する Ant 環境に Ounce/Ant を統合すると、ビルドの自動化と評価のコード化に役立ちます。

データ・アクセス API は、AppScan® ソース によって生成された評価結果へのアクセスを提供します。この評価結果には、検出結果、検出結果の詳細が含まれます。また、分析日時、コード行、V-density、検出結果の数などの評価の測定基準へのアクセスも提供します。

一般的な製品の用語について説明します。

トラブルシューティングとは、問題の原因を見つけて排除するプロセスです。ソフトウェアに問題が発生した際、「何が起きたのか」と考えたときにトラブルシューティング・プロセスは始まります。

お手持ちのリソースで、問題が解決されない場合は、HCL® ソフトウェア・サポートに連絡してください。HCL ソフトウェア・サポートでは、製品の問題解決に関する支援を行っています。