レポート

アプリケーションで検出された問題のレポートを生成します。送信するレポートを、開発者、社内監査者、侵入テスト担当者、マネージャー、CISO に送信します。セキュリティー情報は広範囲にわたる場合がありますが、必要に応じてフィルタリングできます。

アプリケーション・レポートおよびスキャン・レポート

「アプリケーション」ページと「スキャン」ページから、アプリケーションの現在のステータスに関するさまざまなレポートを生成できます。

アプリケーションまたはスキャン実行レポートを生成するには、次の手順を実行します。
  1. アプリケーションの場合は、「アプリケーション」ページで「管理」 > 「レポート」を選択します。
    スキャンの場合:
    • 「スキャンとセッション」ページで、リスト内の目的のスキャンの右端に表示されている省略記号() を選択し、「レポートのダウンロード」を選択する、または
    • スキャンの概要ページで、「スキャンの管理」 > 「レポートのダウンロード」を選択します。
    レポートのダイアログ・ボックスが開きます。
  2. レポートの「タイプ」を選択します。
    • セキュリティー・レポート: アプリケーションで検出されたすべての問題に関する構成可能なレポート。
    • 業界標準のレポート: 次のステップで、リストからレポートを選択します。
    • コンプライアンス・レポート: 次のステップで、リストからレポートを選択します。
    • オープン・ソース・レポート (SAST および SCA のみ): コード内で見つかったすべてのライセンス別オープン・ソース・ライブラリー、および関連するオープン・ソースのリスク・レベルを一覧にしたレポートです。
    • ソフトウェア部品表 (SBOM) (SCA のみ): アプリケーション内のオープン・ソース・ライブラリーの業界標準リスト。このレポート・タイプは SCA スキャンでのみ使用可能です。
  3. レポートに名前を付けて (またはデフォルト名のままにして)、ファイル・タイプ (HTMLPDF、場合によっては CSV および XML) を選択します。
  4. レポートの上部に追加される注記を追加します。オプション。
  5. 「次へ」をクリックして先に進みます。

    セキュリティー・レポート業界標準のレポートおよびコンプライアンス・レポートSBOM レポート スキャン・エクスポート・フォーマットについて詳しくは、以下を参照してください。

セキュリティー・レポート

セキュリティー・レポートは、以下について生成できます。
  • アプリケーション全体
  • 特定のスキャン (スキャンが複数回実行されている場合は、使用する実行を指定する必要があります)
  • フィルタリングされた、問題のリスト
  • 修正グループ
セキュリティー・レポートを生成するには、次の手順を実行します。
  1. 以下のいずれかを実行します。
    • 「アプリケーション」ページで、「管理」 > 「レポート」 > 「セキュリティー・レポート」を選択します。
    • 「スキャン」ページで、「スキャンの管理」 > 「レポートのダウンロード」 > 「セキュリティー・レポート」を選択します。
    • 「修正グループ」ページの「問題」で、フィルターを適用してレポートに含める問題のみを表示し、「セキュリティー・レポート」をクリックします。
    ASoC レポート・ダイアログが開きます。ダイアログ・ボックスのタイトルは、レポートを起動した場所によって異なります。
  2. レポートに名前を付けて (またはデフォルト名のままにして)、ファイル・タイプ (HTMLPDF、場合によっては CSV および \) を選択します。
  3. レポートの上部に追加される注記を追加します。オプション。
  4. 必要に応じて、レポートの範囲を示します。
    1. 非準拠の問題: 1 つ以上のポリシーに非準拠であるアクティブな問題(状態は「オープン」、「進行中」、「再オープン」のいずれか)。
    2. すべての問題: すべてのステータス、重大度、コンプライアンスを含む、アプリケーション内のすべての問題。「設定」ページの範囲に基づきます。設定ページの範囲が「ステータスに依存」である場合、「すべての問題」にはすべての問題が含まれます。範囲が「ステータスとポリシーに依存」と定義されている場合、1 つ以上のポリシーに非準拠であるすべての問題が含まれます。ここではアクティブな問題フィルターは適用されず、すべての問題が含まれます。
  5. レポートで必要なセクションのチェック・ボックスを選択し、不要なセクションのチェック・ボックスをクリアします。
  6. 「レポートの生成」をクリックします。
    レポートが生成され、マシンに保存されます。
    注: フィルタリングされたリストの場合は、ボタンをクリックすると、セキュリティー・レポートが生成されます。したがって、スキャンが完了した時点のデータを反映する一般的なセキュリティー・レポートとは異なり、フィルタリングされたレポートには、検出された問題の最新のステータスが反映されます。例えば、「新規」から「修正済み」に変わった問題は、このレポートで「修正済み」として表示されます。
    注: レポートが非常に大きい場合は、PDF の生成が失敗することがあります。このようなときは、代わりに HTML レポートが生成されます。このようになっていても、PDF 形式が必要な場合は、フィルターを使用して問題のチャンクを小さくし、2 つ以上のレポートを生成します。

業界標準のレポートおよびコンプライアンス・レポート

アプリケーションの以下のレポートから選択します。
業界標準 コンプライアンス
CWE 最も危険なソフトウェア脆弱性の Top 25 2021 カナダ情報の自由とプライバシー保護法 (FIPPA)
CWE 最も危険なソフトウェア脆弱性のトップ 25 2023 EU Digital Operational Resilience Act (DORA)
国際標準化機構規格 - ISO 27001 EU 一般データ保護規則 (GDPR)
国際標準化機構規格 - ISO 27002 ネットワークおよび情報セキュリティー指令 (NIS2)
NIST 特別文書 800-53 決済アプリケーションのデータ・セキュリティー標準
OWASP API セキュリティー Top 10 2019 南アフリカ個人情報保護法 (PoPIA)
OWASP API セキュリティー Top 10 2023 クレジット・カード業界データ・セキュリティー基準 (PCI DSS) - V4
OWASP Application Security Verification Standard V4.0.3 米国カリフォルニア州消費者プライバシー法 (CCPA) - AB-375
OWASP Cloud-Native Application Security Top 10 [米国] DISA の Application Security and Development STIGV6R1
OWASP トップ 10 2017 [米国] 電子資金決済法 (EFTA)
OWASP トップ 10 2021 米国連邦情報セキュリティー近代化法 (FISMA)
OWASP トップ 10 モバイル 2016 米国連邦リスクおよび認可管理プログラム (FedRAMP)
WASC 脅威の分類 v2.0 米国医療保険の携行性と責任に関する法律 (HIPAA)
米国サーベンス・オクスリー法 (SOX)

結果 (「高「重大」のみ、つまり、特定の日付以降に見つかった問題のみなど) のサブセクションのレポートを生成する場合は、レポートを生成する前にフィルターを結果に適用できます。

ソフトウェア部品表 (SBOM) レポート

ソフトウェア部品表 (SBOM) レポートは、完全な依存関係や階層情報など、ソフトウェア・アーティファクトを構成するコンポーネントをネストしたインベントリーです。SBOM レポートは SCA スキャンでのみ使用可能で、有効な SCA ライセンスが必要です。

SBOM レポートを生成するには、次の手順を実行します。
  1. 以下のいずれかの操作を実行します。
    • 「スキャンとセッション」ページで、リスト内の目的のスキャンの右端に表示されている省略記号() を選択し、「レポートのダウンロード」を選択する、または
    • スキャンの概要ページで、「スキャンの管理」 > 「レポートのダウンロード」を選択します。
  2. レポート・タイプとしてソフトウェア部品表 (SBOM) を選択し、ファイル名と形式 (TV または JSON) を指定します。
  3. 「次へ」をクリックします。
  4. 最終レポートに表示される次の必須フィールドを指定します。
    • 文書名: SBOM レポートのタイトル。
    • 組織名: レポートを生成している対象の組織。
    • 作成者名: レポートを作成しているユーザーの電子メール。
  5. 「レポートの生成」をクリックします。

スキャン・データを CSVJSON、または SARIF でエクスポート

アプリケーションまたはスキャンの「問題」リストからデータを CSVJSON、または SARIF ファイルとしてエクスポートできます。
注:
  • エクスポートできるのは管理者だけです。
  • SARIF オプションは SAST の問題にのみ適用され、SCA (オープン・ソース) の問題には適用されません。無料サブスクリプションでは利用できません。
データをエクスポートするには、次の手順を実行します。
  1. エクスポートする問題のみが表示されるまで、必要に応じて問題リストをフィルタリングします。
  2. テーブルの真上にある「列」ドロップダウンを使用して、含める列を選択します。
  3. 表の上部にある「エクスポート」をクリックします。

    「データのエクスポート」ダイアログが開きます。

  4. ファイルの名前を入力し、「CSVJSON、または「SARIF」を選択します。
  5. 「エクスポート」をクリックします。

    データがファイルにエクスポートされます。