修正グループ
修正グループは現在、静的分析スキャンで検出された問題にのみ適用されます。
修正グループは、静的分析スキャンで検出された問題を管理、トリアージおよび解決するための新しいアプローチです。静的スキャンを実行すると、AppScan 360° は、検出された問題を脆弱性タイプおよび必要な修復タスクに基づいて修正グループに整理します。すべての新しい静的スキャンにおいて、新しい問題はこうしたグループに追加され、必要に応じて新しいグループが作成されます。
問題はそれぞれ 1 つの修正グループに属します。修正グループは、アプリケーションの「修正グループ」タブと「スキャン・レポート」に表示されます。修正グループには、次の 3 つのタイプがあります。
- 共通修正ポイント
- 同じ脆弱性を共有する問題が含まれます。グループ全体を 1 つの修正によって修復できます (1 つのコード・ポイント)。
- 共通 API
- 同じ API 呼び出しに関連する問題が含まれます。共通 API グループは、同じ根本原因を持つ検出結果が共通修正ポイント・グループに収まらない場合はまとめて表示します。これにより、結果を確認して修正を適用する際のコンテキスト切り替えが少なくなります。一般に、この修正は、影響を受ける検出結果によらず類似したものになります。グループ内のすべての問題に同じ修正を適用できます。
- 共通オープン・ソース
- 検出されたライブラリーに基づいて、サード・パーティー・コードで識別される問題が含まれます。アプリケーションで識別された脆弱なライブラリーごとに、修正グループが作成されます。各修正グループは、特定のライブラリーで検出された脆弱性の数に応じて、1 つ以上の脆弱性を持つ可能性があります。グループ内のすべての問題に、同じ修正を適用できます。
どのグループの問題も、常に同じ脆弱性タイプを共有します。
修正グループの重大度
修正グループの重大度は、含まれるすべての問題の最高レベルの重大度に基づいて決定されます。
修正グループの状況
修正グループの状況が割り当てられるのは、グループ内のすべての問題が同じ状況の場合のみです。
グループ内のすべての問題のステータスを変更する場合は、将来のスキャンでグループに追加された問題に同じステータスを適用するかどうかを選択できます。これを行うには、[将来の問題に自動的に適用する] チェックボックスをオンにします。将来の問題に自動的に適用するオプションは、API と監査証跡ユーザー・インターフェースでそれぞれ StickyStatus および IsSticky と呼ばれていますが、同じものである点に注意してください。また、このオプションを選択すると、このグループに属する個々の問題のステータスを変更できなくなります。
[将来の問題に自動的に適用する] チェックボックスをオンにしないで、将来のスキャンでステータスが異なる新しい問題が追加されると、グループのステータスは [混合] に変わります。
チュートリアル
問題の詳細ペインには、修正箇所や関連する問題のプロパティを示すトレースなど、問題に関する包括的な情報が表示されます。