静的分析の秘密のスキャン
シークレット・スキャンが組織レベルで有効または無効になっています。ただし、個々のスキャンでは、シークレット関連の
appscan prepare または appscan.sh prepare オプションを使用すると、組織レベルの設定を上書きすることができます。- 組織レベルでシークレットが有効になっている場合:
-ds, --disableSecretsとappscan prepareまたはappscan.sh prepareを使用して、シークレット・スキャンを無効にします。- ソース・コードのみスキャンを実行しているときに
-so, -secretsOnlyとappscan prepareまたはappscan.sh prepareを使用してシークレットのみをスキャンします。
- 組織レベルでシークレットが無効になっている場合:
-es, --enableSecretsまたは-so, --secretsOnlyとappscan prepareまたはappscan.sh prepareを使用して、シークレット・スキャンを有効にします。- ソース・コードのみスキャンを実行しているときに
-so, -secretsOnlyとappscan prepareまたはappscan.sh prepareを使用してシークレットのみをスキャンします。
AppScan on Cloud は、以下のプラットフォームおよびプロバイダーの秘密のスキャンをサポートします。
| プロバイダー/プラットフォーム | シークレット |
|---|---|
| Alibaba Cloud | alibaba_cloud_access_key_id |
| Alibaba Cloud | alibaba_cloud_access_key_secret |
| AWS | aws_access_key_id |
| AWS | aws_secret_access_key |
| AWS | aws_session_token |
| Atlassian | atlassian_api_token |
| Atlassian | atlassian_jwt |
| アズール | azure_cosmosdb_key_identifiable |
| アズール | Azure CosmosDB 接続ストリング |
| アズール | azure_devops_personal_access_token |
| アズール | azure_sas_token |
| アズール | azure_search_admin/query_key |
| アズール | azure_sql_connection_string |
| アズール | azure_storage_account_key |
| アズール | Azure ストレージ・アカウントの接続ストリング |
| DataBricks | databricks_access_token |
| GitHub | github_oauth_access_token |
| GitHub | github_personal_access_token |
| GitHub | github_refresh_token |
| Google Cloud | google_api_key |
| Google Cloud | google_cloud_private_key_id |
| HashiCorp | ハードコードされた HashiCorpVault トークン |
| HasiCorp | AppRole 認証 (RoleID と SecretID) 形式 |
| オープン AI | openai_api_key |
| Stripe | stripe_live_restricted_key |
| Stripe | stripe_live_secret_key |
| Stripe | stripe_test_restricted_key |
| Stripe | stripe_test_secret_key |
| mongodb | API 認証 |
| mongodb | 接続 URL |
| Jenkins | Jenkins パスワード/パスフレーズ |
| クレジット・カード番号 | クレジット・カード番号 |
| 社会保障番号 (SSN) | 社会保障番号 |