修正グループ

修正グループは現在、静的分析スキャンで検出された問題にのみ適用されます。

修正グループは、静的分析スキャンで検出された問題を管理、トリアージおよび解決するための新しいアプローチです。静的スキャンを実行すると、AppScan 360° は、検出された問題を脆弱性タイプおよび必要な修復タスクに基づいて修正グループに整理します。すべての新しい静的スキャンにおいて、新しい問題はこうしたグループに追加され、必要に応じて新しいグループが作成されます。

問題はそれぞれ 1 つの修正グループに属します。修正グループは、アプリケーションの「修正グループ」タブと「スキャン・レポート」に表示されます。修正グループには、次の 3 つのタイプがあります。

共通修正ポイント: 同じ脆弱性を共有する問題が含まれます。グループ全体を 1 つの修正によって修復できます (1 つのコード・ポイント)。
共通 API: 同じ API 呼び出しに関連する問題が含まれます。共通 API グループは、同じ根本原因を持つ検出結果が共通修正ポイント・グループに収まらない場合はまとめて表示します。これにより、結果を確認して修正を適用する際のコンテキスト切り替えが少なくなります。一般に、この修正は、影響を受ける検出結果によらず類似したものになります。グループ内のすべての問題に同じ修正を適用できます。
共通オープン・ソース: 検出されたライブラリーに基づいて、サード・パーティー・コードで識別される問題が含まれます。アプリケーションで識別された脆弱なライブラリーごとに、修正グループが作成されます。各修正グループは、特定のライブラリーで検出された脆弱性の数に応じて、1 つ以上の脆弱性を持つ可能性があります。グループ内のすべての問題に、同じ修正を適用できます。

どのグループの問題も、常に同じ脆弱性タイプを共有します。

修正グループの重大度

修正グループの重大度は、含まれるすべての問題の最高レベルの重大度に基づいて決定されます。

修正グループの状況

修正グループの状況が割り当てられるのは、グループ内のすべての問題が同じ状況の場合のみです。

グループ内のすべての問題の状況を変更するときは、今後のスキャンによってグループに追加される問題にもその状況を適用するかどうかを選択できます。今後検出される問題に状況を適用しない場合、新しい問題が追加されると、グループの状況は「混合」に変更されます。

チュートリアル

例(X)

共通修正ポイント修正グループ

以下の図では、5 つのパラメーター (id、name、email、subject、message) があり、これが最終的には行 194 の DBUtil.java の修正ポイント new Feedback になります。id は int 型であり、クロスサイト・スクリプティングの攻撃可能ベクトルではありませんが、他の 4 つは攻撃可能であり、修復する必要があります。

トレースを見ると、5 つの異なる症状が存在し、異なる行に出現する out.print 呼び出しの結果としてブラウザー・ページに表示されることがわかります。new Feedback 呼び出しで、許容文字の許可リスト登録、またはコンストラクター内でこれら 5 つのエンティティーに対しデータのサニタイズ/検証が行われた場合、修正グループ内のすべての検出結果が解決されます。修正グループの修正ポイントが無視される場合、これらの各検出結果に対して 4 つの異なるエンコード呼び出しを追加する必要があります。

注: トレース・ビューの左側にある縦の青いバーを探して、修正場所を特定します。

共通 API 修正グループ

この例では、同じ根本原因を持つ 2 つの検出結果があります (入力ストリングのエスケープはありません)。これらはそれぞれ別個に解決する必要があります。ただし、修正は類似しています (この例では両方のインスタンスで同一です)。

共通オープン・ソース修正グループ

この例では、ライブラリーに 8 つの異なる脆弱性が見つかりました。それを受けて、このライブラリーのすべての脆弱性を表示する修正グループが作成されたため、ライブラリーに関連付けられた各脆弱性のレビュー処理が迅速化されます。