レポート
アプリケーションで検出された問題のレポートを生成します。送信するレポートを、開発者、社内監査者、侵入テスト担当者、マネージャー、CISO に送信します。セキュリティー情報は広範囲にわたる場合がありますが、必要に応じてフィルタリングできます。
アプリケーション・レポートおよびスキャン・レポート
「アプリケーション」ページと「スキャン」ページから、アプリケーションの現在のステータスに関するさまざまなレポートを生成できます。
アプリケーションまたはスキャン実行レポートを生成するには、次の手順を実行します。
- アプリケーションの場合は、「アプリケーション」ページでを選択します。スキャンの場合:
- 「スキャンとセッション」ページで、リスト内の目的のスキャンの右端に表示されている省略記号(…) を選択し、「レポートのダウンロード」を選択する、または
- スキャンの概要ページで、を選択します。
レポートのダイアログ・ボックスが開きます。
- レポートの「タイプ」を選択します。
- セキュリティー・レポート: アプリケーションで検出されたすべての問題に関する構成可能なレポート。
- 業界標準のレポート: 次のステップで、リストからレポートを選択します。
- コンプライアンス・レポート: 次のステップで、リストからレポートを選択します。
- オープン・ソース・レポート (SAST および SCA のみ): コード内で見つかったすべてのオープン・ソース・ライブラリー (およびそのライセンス)、および関連するオープン・ソースのリスク・レベルを一覧にしたレポートです。
- ソフトウェア部品表 (SBOM) (SCA のみ): アプリケーション内のオープン・ソース・ライブラリーの業界標準リスト。このレポート・タイプは SCA スキャンでのみ使用可能です。
- レポートに名前を付けて (またはデフォルト名のままにして)、ファイル・タイプ (
HTML、PDF、場合によってはCSVおよびXML) を選択します。 - レポートの上部に追加される注記を追加します。オプション。
- 「次へ」をクリックして先に進みます。
セキュリティー・レポート、業界標準のレポートおよびコンプライアンス・レポート、SBOM レポート、 スキャン・エクスポート・フォーマットについて詳しくは、以下を参照してください。
セキュリティー・レポート
セキュリティー・レポートは、以下について生成できます。
- アプリケーション全体
- 特定のスキャン (スキャンが複数回実行されている場合は、使用する実行を指定する必要があります)
- フィルタリングされた、問題のリスト
- 修正グループ
セキュリティー・レポートを生成するには、次の手順を実行します。
- 以下のいずれかを実行します。
- 「アプリケーション」ページで、を選択します。
- 「スキャン」ページで、を選択します。
- 「修正グループ」ページの「問題」で、フィルターを適用してレポートに含める問題のみを表示し、「セキュリティー・レポート」をクリックします。
- レポートに名前を付けて (またはデフォルト名のままにして)、ファイル・タイプ (
HTML、PDF、場合によってはCSVおよび \) を選択します。 - レポートの上部に追加される注記を追加します。オプション。
- 必要に応じて、レポートの範囲を示します。
- 非準拠の問題: 1 つ以上のポリシーに非準拠であるアクティブな問題 (状態は「オープン」、「進行中」、「再オープン」のいずれか)。
- すべての問題: すべてのステータス、重大度、コンプライアンスを含む、アプリケーション内のすべての問題。「設定」ページの範囲に基づきます。設定ページの範囲が「ステータスに依存」である場合、「すべての問題」にはすべての問題が含まれます。範囲が「ステータスとポリシーに依存」と定義されている場合、1 つ以上のポリシーに非準拠であるすべての問題が含まれます。ここではアクティブな問題フィルターは適用されず、すべての問題が含まれます。
- レポートで必要なセクションのチェック・ボックスを選択し、不要なセクションのチェック・ボックスをクリアします。
- 「レポートの生成」をクリックします。レポートが生成され、マシンに保存されます。注: フィルタリングされたリストの場合は、ボタンをクリックすると、セキュリティー・レポートが生成されます。したがって、スキャンが完了した時点のデータを反映する一般的なセキュリティー・レポートとは異なり、フィルタリングされたレポートには、検出された問題の最新のステータスが反映されます。例えば、「新規」から「修正済み」に変わった問題は、このレポートで「修正済み」として表示されます。注: レポートが非常に大きい場合は、
PDFの生成が失敗することがあります。このようなときは、代わりにHTMLレポートが生成されます。このようになっていても、PDF形式が必要な場合は、フィルターを使用して問題のチャンクを小さくし、2 つ以上のレポートを生成します。
業界標準のレポートおよびコンプライアンス・レポート
アプリケーションの以下のレポートから選択します。
| 業界標準 | コンプライアンス |
|---|---|
| CWE 最も危険なソフトウェア脆弱性の Top 25 2021 | カナダ情報自由及びプライバシー保護法 (FIPPA) |
| 国際標準化機構規格 - ISO 27001 | EU 一般データ保護規則 (GDPR) |
| 国際標準化機構規格 - ISO 27002 | ネットワークおよび情報セキュリティー指令 (NIS2) |
| NIST 特別文書 800-53 | 決済アプリケーションのデータ・セキュリティー標準 |
| OWASP API セキュリティー Top 10 2019 | PCI コンプライアンス |
| OWASP API セキュリティー Top 10 2023 | 米国カリフォルニア州消費者プライバシー法 (CCPA) - AB-375 |
| OWASP Cloud-Native Application Security Top 10 | [米国] DISA の Application Security and Development STIGV5R2 |
| OWASP Top 10 2017 | [米国] 電子資金決済法 (EFTA) |
| OWASP Top 10 2021 | 米国連邦情報セキュリティー近代化法 (FISMA) |
| OWASP Top 10 モバイル 2016 | 米国連邦リスクおよび認可管理プログラム (FedRAMP) |
| 2023 年 CWE 最も危険なソフトウェア脆弱性の Top 25 | 米国医療保険の携行性と責任に関する法律 (HIPAA) |
| WASC 脅威の分類 2.0 | 米国サーベンス・オクスリー法 (SOX) |
結果 (「高と「重大」のみ、つまり、特定の日付以降に見つかった問題のみなど) のサブセクションのレポートを生成する場合は、レポートを生成する前にフィルターを結果に適用できます。
ソフトウェア部品表 (SBOM) レポート
ソフトウェア部品表 (SBOM) レポートは、完全な依存関係や階層情報など、ソフトウェアアーティファクトを構成するコンポーネントのネストされたインベントリーです。SBOM レポートは SCA スキャンでのみ使用可能で、有効な SCA ライセンスが必要です。
SBOM レポートを生成するには、次の手順を実行します。
- 以下のいずれかの操作を実行します。
- 「スキャンとセッション」ページで、リスト内の目的のスキャンの右端に表示されている省略記号(…) を選択し、「レポートのダウンロード」を選択する、または
- スキャンの概要ページで、を選択します。
- レポート・タイプとしてソフトウェア部品表 (SBOM) を選択し、ファイル名と形式 (
TVまたはJSON) を指定します。 - 「次へ」をクリックします。
- 最終レポートに表示される次の必須フィールドを指定します。
- 文書名: SBOM レポートのタイトル。
- 組織名: レポートを生成している対象の組織。
- 作成者名: レポートを作成しているユーザーの電子メール。
- 「レポートの生成」をクリックします。
スキャン・データを CSV、JSON、または SARIF でエクスポート
アプリケーションまたはスキャンの「問題」リストからデータを
CSV、JSON、または SARIF ファイルとしてエクスポートできます。注:
- エクスポートできるのは管理者だけです。
SARIFオプションは SAST の問題にのみ適用され、SCA (オープン・ソース) の問題には適用されません。無料サブスクリプションでは利用できません。
データをエクスポートするには、次の手順を実行します。
- エクスポートする問題のみが表示されるまで、必要に応じて問題リストをフィルタリングします。
- テーブルの真上にある「列」ドロップダウンを使用して、含める列を選択します。
- 表の上部にある「エクスポート」をクリックします。
「データのエクスポート」ダイアログが開きます。
- ファイルの名前を入力し、「
CSV、JSON、または「SARIF」を選択します。 - 「エクスポート」をクリックします。
データがファイルにエクスポートされます。