「問題情報」ペイン

「問題情報」ペインには、問題に使用可能なすべてのコンテンツが表示されます。

特定の問題の「問題」ペインを開くには、以下のようにします。
  • 「問題」ページで、特定の問題をクリックします。
    「問題情報」ペインが画面の右側に開きます。
    ヒント: 情報ペインが開いている状態で、メイン・ページの異なる問題を選択することで、問題と問題情報の間を切り替えることができます。別の問題を選択すると、問題情報ペインが最新表示されます。
問題情報ペインでは、ヘッダー といくつかのタブから特定の問題関連情報を表示できます。

ヘッダー

すべてのタブから表示されるヘッダーには、脆弱性のタイプ、問題の重大度、ステータス、場所が表示されます。また、次の 2 つのアクションもあります。

  • 「共有」をクリックして、リンクまたは問題 ID で問題を共有する。
  • 「全画面表示」をクリックすると、新しいブラウザー・タブに問題の詳細が表示される。

「詳細」タブ

「詳細」タブには、可能な限り脆弱性が含まれている、または表示されているコードの一部を含む、セクション内の問題の詳細の概要が表示されます。詳細は、スキャン技術によって異なります。

必要に応じて、問題の詳細にはコピー・アイコン () が含まれており、情報をクリップボードにコピーできます。

スキャナー技術 詳細 説明
DAST 差分 元の要求から変更され、問題が特定されたパラメーター。「テスト要求と応答」セクションにも、異なる呼び出しが赤で表示されます。
理由 ASoC がこれを問題としてフラグ付けした理由。
テスト要求と応答 テストに関する情報とテスト特定のバリアントが含まれます。これらは、ご使用の Web アプリケーションのどこに脆弱性があるかを発見するためにアプリケーションに送信されたものです。赤色のストリングは、テストで使用されるさまざまな要求を示します (「差分」で示されます)。黄色で強調表示されているストリングは、テストの一部として入力の変更を示します。
SCA メインの詳細 コード内の問題の場所。
関連する 問題が 修正グループに属している場合は、関連付けられた修正グループへのリンク。
SAST 場所 コード内の問題の場所。問題の種類によっては、問題の発生元となった API、または問題のソース (データの送信元) とシンク (データの送信先) の情報が場所情報に含まれている場合もあります。
呼び出しトレース 問題のコンテキスト、または脆弱性が含まれるアプリケーションのセクションを通過する汚染されたデータの流れ。呼び出しトレース・セクションには、コードのさまざまな領域 (最適な固定ポイント、代替の固定ポイント、ソース、シンク、汚染のフローなど) を理解するのに役立つ凡例が含まれています。
自動修正 この問題で自動修正が使用可能な場合はここに表示されます。差分は、元のコードが赤で表示され、固定コードが緑で表示されます。「コピー」をクリックして、修正されたコードをコピーします。
関連する 問題が 修正グループに属している場合は、関連付けられた修正グループへのリンク。

「ソース・コード」タブ (SAST のみ)

「ソース・コード」タブでは、問題に関連するソース・コードを表示して、問題のトリアージを迅速かつ効率的に行えます。

デフォルトでは、ソース・コード・ファイルのローカル・ディレクトリー構造を参照できます。
  • 「ディレクトリーの追加」をクリックして、ローカルのルート・ソース・コード・ディレクトリーを問題に関連付けます。
  • ソース・コードのハイライトされた脆弱性にカーソルを合わせると、修正候補が表示されます。
  • 問題の詳細ペインで表示されるソース・コードは、非公開のままです。ASoC にはアップロードされません。
スキャンされた IRX ファイルが GitHub リポジトリーで生成された場合、そのスキャンに GitHub にリンクする情報が含まれているとします。
  • スキャン中に使用可能な最後のコミットが GitHub サーバーでも使用可能であることを確認します。
  • GitHub で「ファイルを開く」をクリックすると、GitHub の Web インターフェースの新しいブラウザー・タブでファイルが開きます。
  • GitHub でコードを修正します。

いずれの場合も、ソース・コードへの接続は永続的ではありません。優先順位付けと修復の際に、必要に応じて各ブラウザー・セッションをソース・コードに再接続します。

「修正方法」タブ

「修正方法」タブは、原因、リスク、悪用例、推奨される修正、CWE、関連記事、外部参照に関する詳細情報を提供します。それぞれのセクション隣にある「>」をクリックして、情報を展開します。

可能な場合は、問題名のすぐ下、およびペインの右側のドロップダウンで関連するコード名 (.Net、Angular、Apex など) をクリックすると、コード固有のさまざまな情報が利用できます。

「コメント」タブ

このタブを使用して独自のコメントを追加します。追加したコメントは自分や他のユーザーに表示されるほか、レポートにも含まれます。

「監査証跡」タブ

「監査」タブには、問題の変更の詳細が表示されます。各変更メモの行には、変更日時、変更を行ったエンティティー、および問題の変更方法の詳細が記載されます。例えば、問題の種類や重大度の変更は、「監査」タブのエントリーに記録されます。

「プロパティー」タブ

「プロパティー」タブには、問題が検出された方法と日時、タイプ、ステータス、重要度、スキャナー技術、場所、問題 ID を含む、拡張された詳細が表示されます。

「プロパティー」タブでは、以下のことができます。
  • 問題 ID をクリックすると、現在のブラウザー・タブに問題の詳細が表示されます。
  • コピー・アイコン ()をクリックすると、特定のプロパティーがシステムのクリップボードにコピーされ、他のアプリケーションに貼り付けることができます。
  • 「プロパティーのコピー」をクリックし て、リストされているすべてのプロパティーをシステム・クリップボードにコピーし、Jira 項目などの他のアプリケーションに貼り付けます。