「問題情報」ペイン
「問題情報」ペインには、問題に使用可能なすべてのコンテンツが表示されます。
- 「問題」ページで、特定の問題をクリックします。「問題情報」ペインが画面の右側に開きます。ヒント: 情報ペインが開いている状態で、メイン・ページの異なる問題を選択することで、問題と問題情報の間を切り替えることができます。別の問題を選択すると、問題情報ペインが最新表示されます。
ヘッダー
すべてのタブから表示されるヘッダーには、脆弱性のタイプ、問題の重大度、ステータス、場所が表示されます。また、次の新しいアクションも含まれています。
- 「共有」をクリックして、リンクまたは問題 ID で問題を共有する。
- 「全画面表示」をクリックすると、新しいブラウザー・タブに問題の詳細が表示される。
- 問題のステータスに基づいて、選択した問題のステータスを更新するためのボタンが表示されます。例えば、「進行中とマーク」、「問題のクローズ」。
- 省略符号アイコンをクリックすると、選択した問題の重大度が更新されます。
「詳細」タブ
「詳細」タブには、可能な限り脆弱性が含まれている、または表示されているコードの一部を含む、セクション内の問題の詳細の概要が表示されます。詳細は、スキャン技術によって異なります。
必要に応じて、問題の詳細にはコピー・アイコン (
) が含まれており、情報をクリップボードにコピーできます。
| スキャナー技術 | 詳細 | 説明 |
|---|---|---|
| DAST | 差分 | 元の要求から変更され、問題が特定されたパラメーター。「テスト要求と応答」セクションにも、異なる呼び出しが赤で表示されます。 |
| 理由 | ASoC がこれを問題としてフラグ付けした理由。 | |
| 修正の検証 | 開発者は、アプリケーションにログインして実行している間にスクリプトをブラウザー・コンソールにコピーすることで、修正をテストできます。または、スクリプトを IDE にダウンロードし、付属の指示に従って必要な調整を行い、実行して修正を検証することもできます。 | |
| テスト要求と応答 | テストに関する情報とテスト特定のバリアントが含まれます。これらは、ご使用の Web アプリケーションのどこに脆弱性があるかを発見するためにアプリケーションに送信されたものです。赤色のストリングは、テストで使用されるさまざまな要求を示します (「差分」で示されます)。黄色で強調表示されているストリングは、テストの一部として入力の変更を示します。 注: LLM の問題の場合は、「LLM テストインタラクション」セクションが表示され、AppScan が脆弱性をフラグするための会話が示されます。 |
|
| SCA | メインの詳細 | コード内の問題の相対パスの場所およびライブラリー名。 |
| CVE | 問題のライブラリーに関連する共通脆弱性識別子 (CVE) と、CVE 名、説明、公開日、詳細についての cve.org の特定のページへのリンクなどの関連コンテンツ、および EPSS (エクスプロイト予測スコアシステム) のスコアとパーセンタイル。 注: EPSS は動的です。モデルが新しいデータを取得するときに、値が日々変化することがあります。EPSS スコアとパーセンタイルは、スキャン/再スキャン時に更新されます。 |
|
| 関連する | 問題が 修正グループに属している場合は、関連付けられた修正グループへのリンク。 | |
| SAST | 場所 | コード内の問題の場所。問題の種類によっては、問題の発生元となった API、または問題のソース (データの送信元) とシンク (データの送信先) の情報が場所情報に含まれている場合もあります。 |
| 呼び出しトレース | 問題のコンテキスト、または脆弱性が含まれるアプリケーションのセクションを通過する汚染されたデータの流れ。呼び出しトレース・セクションには、コードのさまざまな領域 (最適な固定ポイント、代替の固定ポイント、ソース、シンク、汚染のフローなど) を理解するのに役立つ凡例が含まれています。 | |
| 自動修正 | この問題で自動修正が使用可能な場合はここに表示されます。差分は、元のコードが赤で表示され、固定コードが緑で表示されます。「コピー」をクリックして、修正されたコードをコピーします。 | |
| 関連する | 問題が 修正グループに属している場合は、関連付けられた修正グループへのリンク。 |
「ライブラリー」タブ (SCAのみ)
「ライブラリー」タブには、問題に関連付けられているライブラリーの詳細情報、特にスキャンで見つかった完全なライブラリー名とバージョンが表示されます。その他のライブラリー情報については、オープン・ソース・ライブラリーを検索してライブラリーの詳細を表示します。ライブラリーには複数のライセンスが付随する場合があります。
「ソース・コード」タブ (SAST のみ)
「ソース・コード」タブでは、問題に関連するソース・コードを表示して、問題のトリアージを迅速かつ効率的に行えます。
- 「ディレクトリーの追加」をクリックして、ローカルのルート・ソース・コード・ディレクトリーを問題に関連付けます。
- ソース・コードのハイライトされた脆弱性にカーソルを合わせると、修正候補が表示されます。
- 問題の詳細ペインで表示されるソース・コードは、非公開のままです。ASoC にはアップロードされません。
- スキャン中に使用可能な最後のコミットが GitHub サーバーでも使用可能であることを確認します。
- GitHub で「ファイルを開く」をクリックすると、GitHub の Web インターフェースの新しいブラウザー・タブでファイルが開きます。
- GitHub でコードを修正します。
いずれの場合も、ソース・コードへの接続は永続的ではありません。優先順位付けと修復の際に、必要に応じて各ブラウザー・セッションをソース・コードに再接続します。
RapidFix (SAST のみ、追加サブスクリプション)
「RapidFix」タブには、トリアージと修正の推奨事項が表示されます。問題によっては、使用可能な修正がないものもあります。修正が利用可能な場合、コード差異は修正タブで確認でき、SCM で「パッチの作成」ボタンを使用してパッチ要求を開始できます。「修正方法」タブ
「修正方法」タブは、原因、リスク、悪用例、推奨される修正、CWE、関連記事、外部参照に関する詳細情報を提供します。それぞれのセクション隣にある「>」をクリックして、情報を展開します。
可能な場合は、問題名のすぐ下、およびペインの右側のドロップダウンで関連するコード名 (.Net、Angular、Apex など) をクリックすると、コード固有のさまざまな情報が利用できます。
「コメント」タブ
このタブを使用して独自のコメントを追加します。追加したコメントは自分や他のユーザーに表示されるほか、レポートにも含まれます。
「監査証跡」タブ
「監査証跡」タブには、問題の変更の詳細が表示されます。各変更メモの行には、変更日時、変更を行ったエンティティー、および問題の変更方法の詳細が記載されます。例えば、問題の種類や重大度の変更は、「監査証跡」タブのエントリーに記録されます。
「プロパティー」タブ
「プロパティー」タブには、問題が検出された方法と日時、タイプ、ステータス、重要度、スキャナー技術、場所、問題 ID を含む、拡張された詳細が表示されます。
- 問題 ID をクリックすると、現在のブラウザー・タブに問題の詳細が表示されます。
- リポジトリーの URL をクリックして、新しいブラウザー・タブで問題のリポジトリーの場所に移動します。
- コピー・アイコン ()をクリックすると、特定のプロパティーがシステムのクリップボードにコピーされ、他のアプリケーションに貼り付けることができます。
- 「プロパティーのコピー」をクリックし て、リストされているすべてのプロパティーをシステム・クリップボードにコピーし、Jira 項目などの他のアプリケーションに貼り付けます。