「問題情報」ペイン
「問題情報」ペインには、問題に使用可能なすべてのコンテンツが表示されます。
- 「問題」ページで、特定の問題をクリックします。「問題情報」ペインが画面の右側に開きます。ヒント: 情報ペインが開いている状態で、メイン・ページの異なる問題を選択することで、問題と問題情報の間を切り替えることができます。別の問題を選択すると、問題情報ペインが最新表示されます。
ヘッダー
すべてのタブから表示されるヘッダーには、脆弱性のタイプ、問題の重大度、ステータス、場所が表示されます。また、次の新しいアクションも含まれています。
- 「全画面表示」をクリックすると、新しいブラウザー・タブに問題の詳細が表示される。
- 問題のステータスに基づいて、選択した問題のステータスを更新するためのボタンが表示されます。例えば、「進行中とマーク」、「問題のクローズ」。
「詳細」タブ
「詳細」タブには、可能な限り脆弱性が含まれている、または表示されているコードの一部を含む、セクション内の問題の詳細の概要が表示されます。詳細は、スキャン技術によって異なります。
必要に応じて、問題の詳細にはコピー・アイコン (
) が含まれており、情報をクリップボードにコピーできます。
| スキャナー技術 | 詳細 | 説明 |
|---|---|---|
| DAST | 差分 | 元の要求から変更され、問題が特定されたパラメーター。「テスト要求と応答」セクションにも、異なる呼び出しが赤で表示されます。 |
| 理由 | AppScan 360° がこれを問題としてフラグ付けした理由。 | |
| 修正の検証 | 開発者は、アプリケーションにログインして実行している間にスクリプトをブラウザー・コンソールにコピーすることで、修正をテストできます。または、スクリプトを IDE にダウンロードし、付属の指示に従って必要な調整を行い、実行して修正を検証することもできます。 | |
| テスト要求と応答 | テストに関する情報とテスト特定のバリアントが含まれます。これらは、ご使用の Web アプリケーションのどこに脆弱性があるかを発見するためにアプリケーションに送信されたものです。赤色のストリングは、テストで使用されるさまざまな要求を示します (「差分」で示されます)。黄色で強調表示されているストリングは、テストの一部として入力の変更を示します。 | |
| SCA | メインの詳細 | コード内の問題の相対パスの場所およびライブラリー名。 |
| 関連する | 問題が 修正グループに属している場合は、関連付けられた修正グループへのリンク。 | |
| SAST | 場所 | コード内の問題の場所。問題の種類によっては、問題の発生元となった API、または問題のソース (データの送信元) とシンク (データの送信先) の情報が場所情報に含まれている場合もあります。 |
| 呼び出しトレース | 問題のコンテキスト、または脆弱性が含まれるアプリケーションのセクションを通過する汚染されたデータの流れ。呼び出しトレース・セクションには、コードのさまざまな領域 (最適な固定ポイント、代替の固定ポイント、ソース、シンク、汚染のフローなど) を理解するのに役立つ凡例が含まれています。 | |
| 自動修正 | この問題で自動修正が使用可能な場合はここに表示されます。差分は、元のコードが赤で表示され、固定コードが緑で表示されます。「コピー」をクリックして、修正されたコードをコピーします。 | |
| 関連する | 問題が 修正グループに属している場合は、関連付けられた修正グループへのリンク。 |
「ライブラリー」タブ (SCAのみ)
「ライブラリー」タブには、問題に関連付けられているライブラリーの詳細情報、特にスキャンで見つかった完全なライブラリー名とバージョンが表示されます。その他のライブラリー情報については、オープン・ソース・ライブラリーを検索してライブラリーの詳細を表示します。
「ソース・コード」タブ (SAST のみ)
「ソース・コード」タブでは、問題に関連するソース・コードを表示して、問題のトリアージを迅速かつ効率的に行えます。
- 「ディレクトリーの追加」をクリックして、ローカルのルート・ソース・コード・ディレクトリーを問題に関連付けます。
- ソース・コードのハイライトされた脆弱性にカーソルを合わせると、修正候補が表示されます。
- 問題の詳細ペインで表示されるソース・コードは、非公開のままです。AppScan 360° にはアップロードされません。
- スキャン中に使用可能な最後のコミットが GitHub サーバーでも使用可能であることを確認します。
- GitHub で「ファイルを開く」をクリックすると、GitHub の Web インターフェースの新しいブラウザー・タブでファイルが開きます。
- GitHub でコードを修正します。
いずれの場合も、ソース・コードへの接続は永続的ではありません。優先順位付けと修復の際に、必要に応じて各ブラウザー・セッションをソース・コードに再接続します。
「修正方法」タブ
「修正方法」タブは、原因、リスク、悪用例、推奨される修正、CWE、関連記事、外部参照に関する詳細情報を提供します。それぞれのセクション隣にある「>」をクリックして、情報を展開します。
可能な場合は、問題名のすぐ下、およびペインの右側のドロップダウンで関連するコード名 (.Net、Angular、Apex など) をクリックすると、コード固有のさまざまな情報が利用できます。
「コメント」タブ
このタブを使用して独自のコメントを追加します。追加したコメントは自分や他のユーザーに表示されるほか、レポートにも含まれます。
「監査証跡」タブ
「監査」タブには、問題の変更の詳細が表示されます。各変更メモの行には、変更日時、変更を行ったエンティティー、および問題の変更方法の詳細が記載されます。例えば、問題の種類や重大度の変更は、「監査」タブのエントリーに記録されます。
「プロパティー」タブ
「プロパティー」タブには、問題が検出された方法と日時、タイプ、ステータス、重要度、スキャナー技術、場所、問題 ID を含む、拡張された詳細が表示されます。
- 問題 ID をクリックすると、現在のブラウザー・タブに問題の詳細が表示されます。
- リポジトリーの URL をクリックして、新しいブラウザー・タブで問題のリポジトリーの場所に移動します。
- コピー・アイコン ()をクリックすると、特定のプロパティーがシステムのクリップボードにコピーされ、他のアプリケーションに貼り付けることができます。
- 「プロパティーのコピー」をクリックし て、リストされているすべてのプロパティーをシステム・クリップボードにコピーし、Jira 項目などの他のアプリケーションに貼り付けます。