ホーム
トリアージおよび分析
類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® ソース評価のトリアージを行い、結果を分析する方法について説明します。
フィルターを使用したトリアージ
AppScan® Source for Analysis は、すべての潜在的なセキュリティーの脆弱性について報告するため、中規模から大規模のコード・ベースに適用した場合、膨大な量の検出結果を生成する可能性があります。スキャンを実行したときに、重要でない項目が検出結果のリストに含まれることもあります。「検出結果」ビューから特定の検出結果を削除するために、事前定義フィルターを選択するか、独自のフィルター を作成することができます。フィルターは、ビューから削除する検出結果を決定する基準を指定します。
事前定義フィルターAppScan® ソースの使用
AppScan® ソースには、スキャン結果をフィルタリングするために選択できる事前定義フィルター一式が含まれています。このヘルプ・トピックでは、すぐに使用可能なこれらのフィルターについて説明します。
アップグレード後の手動による新規フィルターの追加
SoldDB または Oracle データベースを使用して構成された AppScan® ソースのインストールでは、10.0.8 以降にアップグレードした後に、新しいレポート・フィルターを手動で追加します。

ようこそ
HCL®AppScan® ソースの文書へようこそ。
新機能
以下の、AppScan® ソースに追加された新機能と、このリリースで非推奨になった機能についての注意について説明します。
インストール
HCL®AppScan® ソースのインストール、アップグレード、およびアクティブ化の方法について説明します。
構成
HCL®AppScan® ソースでアプリケーション、フォルダー、プロジェクトを構成し、属性とプロパティーを設定する方法について説明します。
の管理
HCL®AppScan® ソースでの、ユーザー・アカウントと許可の管理、ユーザー・アクティビティーの監査、および統合の管理の方法について説明します。
スキャン
このセクションでは、HCL®AppScan® ソースでのソース・コードのスキャン方法および評価の管理方法について説明します。
トリアージおよび分析
類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® ソース評価のトリアージを行い、結果を分析する方法について説明します。
- 検出結果の表示
  「検出結果」ビュー、または検出結果が含まれるすべてのビューで、スキャンごとに、「検出結果ツリー」(評価基準の階層グループ) と検出結果表が表示されます。検出結果ツリーで選択されている項目により、表に表示される検出結果が決まります。
- AppScan® ソーストリアージ・プロセス
  トリアージ・プロセスには、バンドル、フィルター、および除外による検出結果の操作と、評価結果の比較が含まれます。
- トリアージの例
  この例では、セキュリティー・アナリストが使用する AppScan® ソーストリアージ・ワークフローについて説明します。トリアージ・ワークフローは、ビジネス上の要求によって変わる場合があります。
- フィルターを使用したトリアージ
  AppScan® Source for Analysis は、すべての潜在的なセキュリティーの脆弱性について報告するため、中規模から大規模のコード・ベースに適用した場合、膨大な量の検出結果を生成する可能性があります。スキャンを実行したときに、重要でない項目が検出結果のリストに含まれることもあります。「検出結果」ビューから特定の検出結果を削除するために、事前定義フィルターを選択するか、独自のフィルター を作成することができます。フィルターは、ビューから削除する検出結果を決定する基準を指定します。
  - 事前定義フィルターAppScan® ソースの使用
    AppScan® ソースには、スキャン結果をフィルタリングするために選択できる事前定義フィルター一式が含まれています。このヘルプ・トピックでは、すぐに使用可能なこれらのフィルターについて説明します。
    - アップグレード後の手動による新規フィルターの追加
      SoldDB または Oracle データベースを使用して構成された AppScan® ソースのインストールでは、10.0.8 以降にアップグレードした後に、新しいレポート・フィルターを手動で追加します。
    - AppScan® ソース事前定義フィルター (バージョン 8.7.x 以前)
      このトピックでは、AppScan® ソースバージョン 8.7.x 以前に組み込まれていた事前定義フィルターをリストします。
    - アーカイブ済みの事前定義フィルターの復元
      このタスクの手順に従うと、バージョン 8.8 より前の AppScan® ソースで提供されていた事前定義フィルターを製品に再び追加することができます。これらのフィルターを 1 台のマシンに復元すると、ユーザーが作成するフィルターと同じ方法で管理できます (例えば、フィルターを複数のクライアントで共有できます)。
  - フィルターの作成および管理
    AppScan® ソースには、フィルターを作成および使用するための方法が複数用意されています。フィルター作成用のメイン・ビューである「フィルター・エディター」ビューには一連の堅固なルールが備えられ、これらを手動で設定し、フィルターに保存できます。「フィルター・エディター」ビューには、作成済みのフィルターを管理するメカニズムも用意されています。これにより、フィルターを容易に変更または削除できます。また、検出結果をグラフィカルに表現するビューを使用して検出結果表をフィルタリングし、それらのフィルターを「フィルター・エディター」ビューで保存することもできます。フィルターを作成すると、他のビューもフィルター・プロパティーを反映するように更新されます。
  - フィルターの適用
    フィルターは、スキャン前またはスキャン後に適用できます。スキャン後にフィルターを適用するには、「フィルター・エディター」を使用するか、フィルターを適用できる別のビューを使用します。スキャン前にフィルターを適用するには、グローバル・フィルターを設定するか、スキャン構成を使用してフィルタリングを行います。スキャン前にフィルターを適用すると、フィルタリング対象でない検出結果を表示することも、再スキャンせずにフィルターを削除することもできません。
- 除外を使用したトリアージ
  スキャン後に、一部の検出結果が現在の作業に関係ないと判断した場合、スキャン結果のトリアージを行う際にその検出結果を検出結果表に表示しないようにします。これらの除外 (または除外された検出結果) は、「検出結果」ビューに表示されなくなり、評価メトリックは、変更された結果によって直ちに更新されます。構成に追加されたフィルターおよびバンドルの除外は、後続のスキャンに対してのみ実施されます。
- バンドルの操作
  バンドル (検出結果をグループ化するメカニズム) を使用すると、AppScan® Source for Analysis から AppScan Source for Development に、検出結果のスナップショットをインポートすることができます。検出結果をバンドルにすると、AppScan Source for Development を使用して、バンドルが含まれたプロジェクトを開いたり、バンドルをインポートしたり、保存されたバンドル・ファイル (file_name.ozbdl) を開いたりできます。
- 静的分析修正グループの使用
  修正グループは、静的分析スキャンで見つかった問題を管理、トリアージおよび解決するための新しいアプローチです。静的スキャンを実行すると、AppScan® ソースは問題を脆弱性タイプおよび必要な修復タスクに基づいて修正グループに整理します。
- 検出結果の変更
  変更された検出結果とは、脆弱性タイプ、分類、または重大度が変更された検出結果、あるいは注釈が付けられた検出結果です。「変更された検出結果」ビューには、現在のアプリケーション (アプリケーションの評価を開いた結果、アクティブになっているアプリケーション) について、これらの検出結果が表示されます。「自分の評価」ビュー ( AppScan® Source for Analysisでのみ使用可能) では、「変更済み」列に、検出結果が現在の評価で変更されたかどうかが示されます。
- 検出結果の比較
  「差分評価」アクションまたは AppScanDelta ユーティリティーを使用して、評価を比較します。2 つの評価を比較すると、両者の差異は「差分評価」ビューまたは .ozasmt ファイルに表示されます。結果では、新規、修正された/存在しない、および共通の検出結果が要約されます。
- カスタム検出結果
  分析結果を補強するために、カスタム検出結果を作成することができます。これはユーザーが作成する検出結果であり、AppScan® Source for Analysis が、現在開いている評価または選択されたアプリケーションにこの検出結果を追加します。カスタム検出結果は、評価のメトリックに影響します。また、レポートに含めることができます。作成したカスタム検出結果は、以降のアプリケーションのスキャンに自動的に含められます。
- セキュリティー問題の解決と修復支援の表示
  AppScan® ソースは、セキュリティー・エラーまたは一般的な設計上の障害について警告し、解決のプロセスを支援します。AppScan ソース・セキュリティー・ナレッジベース・データベースや、内部または外部のコード・エディターが、このプロセスで役立ちます。
- サポートされる注釈と属性
  コードの装飾に使用される一部の注釈および属性は、スキャン中に処理されます。スキャン中に、サポートされる注釈または属性がコード内で検出されると、装飾されたメソッドに、汚染されたコールバックとしてマークを付けるために、その情報が使用されます。汚染されたコールバックとしてマークされたメソッドは、すべての引数に汚染されたデータがあるものとして扱われます。その結果、トレースでより多くの検出結果が得られます。このヘルプ・トピックでは、サポートされる注釈および属性のリストを示します。
- AppScan® ソーストレース
  AppScan® ソーストレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。
レポート作成
セキュリティー・アナリストおよびリスク・マネージャーは、選択された検出結果のレポート、またはソフトウェア・セキュリティーのベスト・プラクティスおよび法的要件へのコンプライアンスを測定するための一連の監査レポートにアクセスできます。このセクションでは、集約された検出結果データのレポートを作成する方法について説明します。
プロダクト機能の拡張
特定の開発要件を満たすために製品を拡張する方法について説明します。
参照
HCL®AppScan® ソースの参照情報 (ユーティリティー、プラグイン、および API の使用を含む) を確認します。
トラブルシューティングおよびサポート
HCL®AppScan® ソースの使用中に発生する問題のトラブルシューティングに役立つ、セルフ・ヘルプ情報、リソース、およびツール。

アップグレード後の手動による新規フィルターの追加

SoldDB または Oracle データベースを使用して構成された AppScan® ソースのインストールでは、10.0.8 以降にアップグレードした後に、新しいレポート・フィルターを手動で追加します。

AppScan® ソース 10.0.8 の一部として、以下のレポート・フィルターが導入されています。

OWASP Top 10 API Security 2019 フィルター
CWE 2021 Top 25 フィルター
OWASP Top 10 2017 レポート
OWASP Top 10 2021 レポート

デフォルトでは、新しく追加されたフィルターは AppScan® ソースのインストールで使用できます。ただし、データベース (SolidDB または Oracle) を使用して構成された以前のリリースからアップグレードされたインストールを除きます。

AppScan® ソースの特定のアップグレード済みインストールでこれらのフィルターを使用できるようにするには、以下の手順を実行します。

レポート定義ファイルを <data_dir>\IBM\AppScanSource\data\default\filters\ から <data_dir>\IBM\AppScanSource\scanner_filters\ にコピーします。
関連するレポート定義ファイル名は次のとおりです。
- CWE Top 25 2021 Vulnerabilities.off
- OWASP API Security Top 10 2019 Vulnerabilities.off
- OWASP Top 10 2017 Vulnerabilities.off
- OWASP Top 10 2021 Vulnerabilities.off
コピーしたファイルを編集します。
- XML プロパティー global の値を true から false に変更します。
- <Filter added="false" exclude_matching_findings="true" global="true" global_exclusion="false" name="CWE Top 25 2021 Vulnerabilities" version="0"> を <Filter added="false" exclude_matching_findings="true" global="false" global_exclusion="false" name="CWE Top 25 2021 Vulnerabilities" version="0"> に変更する。
分析クライアントの AppScan® ソースを開始します。
「フィルター」ビューを開きます。
新しく追加されたフィルターは、インストール時にカスタム・フィルター・ローカルとして使用可能になります。
オプション。フィルターを「共有」とマークし、同じデータベースに接続している他の AppScan® ソースのインストールで使用できるようにします。