相関

AppScan は、IAST、DAST、および SAST によって検出された問題を分析して、一度の修復作業または総合的な修復作業で複数の脆弱性を解決できる場所 (コード内の共通の脆弱なリンク (相関)) を特定します。

それぞれのコア・テクノロジー (IAST、DAST、および SAST) には長所と短所があります。相関で各テクノロジーの長所を活かしながら、短所を他のテクノロジーの利点で克服することができます。

相関により、AST 機能が強化され、優先順位付けプロセスが改善され、修復の時間と労力が削減されます。
  • DAST の問題を IAST および SAST の詳細で充実した表示にします。
  • IAST および DAST 結果の精度を利用して SAST 検出結果に優先順位を付けます。
  • IAST および DAST の問題の最新の状況から SAST の修正を検証します。
  • 問題をグループ化して、脆弱性と修復タスクの数を減らします。
注:

IAST サブスクリプションがあれば、関連する IAST、DAST、または SAST の問題が検出されるたびに、相関が自動的に更新されます。既存の相関グループは新しい問題で自動的に更新され、必要に応じて新しいグループが作成されます。ユーザー・アクションは不要です。

動作の説明

相関は IAST に基づいています。IAST は実行時に (DAST のように) アプリケーションにアクセスでき、(SAST のように) ソース・コードを表示できます。当社の自動相関アルゴリズムは、DAST および SAST の問題と IAST の問題を一致させます。各問題からデータを抽出し、さまざまなヒューリスティックを使用して相関を特定します。これにより、修復プロセスの最適化を新たなレベルに引き上げます。IAST と相関という武器を加えることで、対処する問題や脆弱性の全体数を減らすことができます。

相関の使用

相関を使用するには、アクティブな IAST セッションが必要です。 ASoC では、相関グループが自動的に作成され、「すべての問題」「相関グループ」タブに表示されます。 ASoC で、アプリケーションに新たな問題が加わると、継続的に更新され、新しいグループが作成されます。
注: 相関は、IAST がアプリケーションに追加された後に完了した DAST および SAST スキャンの結果にのみ適用できます。以前に実行したスキャンに相関を適用するには、再スキャンします。再スキャンで検出された問題は、関連する相関グループに追加されます。

IAST サブスクリプションがあれば、関連する IAST、DAST、または SAST の問題が検出されるたびに、相関が自動的に更新されます。既存の相関グループは新しい問題で自動的に更新され、必要に応じて新しいグループが作成されます。ユーザー・アクションは不要です。

ダッシュボード

相関が特定されると、その相関はアプリケーションのダッシュボードの「問題」グラフに表示されます。

「相関グループ」ページ

「相関グループ」リンクをクリックすると、アプリケーションの「相関」ページが開き、そのアプリケーションに含まれる相関グループがリストされます。

グループ内の問題

グループをクリックすると、その問題が表示されます。

問題の詳細

特定の問題の「問題」ペインの「関連」セクションには、相関グループまたは修正グループ (あるいはその両方) に属している問題が表示されます。

相関の活用

コードの再利用はソフトウェア開発のベスト・プラクティスですが、脆弱なリンクが 1 つでもあると、アプリケーションに複数のセキュリティー脆弱性が生じる可能性があります。次の図は、脆弱なサニタイザーが複数の SQL 注入の脆弱性を引き起こすおそれがある理由を示しています。REST API 1 には RESP API 2 とは異なるルート/ソースがあるため、それらの脆弱性はスキャン結果に関連なしと表示されます。

相関は、単一のタスクとして修復するべき脆弱性を集約します。

以下の例では、相関グループに、異なるテクノロジー (IAST および DAST) によって検出された、問題タイプが異なり重大度が異なる問題が含まれている点に注意してください。相関により、他の方法では関連があるとは認められなかった多様な問題を、一度の修復作業で解決できるようになります。