Welcome
プロダクト機能の拡張
特定の開発要件を満たすために製品を拡張する方法について説明します。
脆弱性データベースとパターン・ルールのカスタマイズ
このセクションでは、脆弱性データベースをカスタマイズし、カスタマイズした脆弱性やその他のルーチンをスキャンに組み込む方法について説明します。

ようこそ
HCL® AppScan® Source の文書へようこそ。
新機能
AppScan® Source に追加された新機能について調べ、このリリースで廃止された機能をメモします。
インストール
HCL® AppScan® Source のインストール、アップグレード、およびアクティブ化の方法について説明します。
構成
HCL® AppScan® Source でアプリケーション、フォルダー、プロジェクトを構成し、属性とプロパティーを設定する方法について説明します。
の管理
HCL® AppScan® Source での、ユーザー・アカウントと許可の管理、ユーザー・アクティビティーの監査、および統合の管理の方法について説明します。
スキャン
このセクションでは、HCL® AppScan® Source におけるソース・コードのスキャン方法および評価の管理方法について説明します。
トリアージおよび分析
類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® Source 評価のトリアージを行い、結果を分析する方法について説明します。
レポート作成
セキュリティー・アナリストおよびリスク・マネージャーは、選択された検出結果のレポート、またはソフトウェア・セキュリティーのベスト・プラクティスおよび法的要件へのコンプライアンスを測定するための一連の監査レポートにアクセスできます。このセクションでは、集約された検出結果データのレポートを作成する方法について説明します。
プロダクト機能の拡張
特定の開発要件を満たすために製品を拡張する方法について説明します。
- 脆弱性データベースとパターン・ルールのカスタマイズ
  このセクションでは、脆弱性データベースをカスタマイズし、カスタマイズした脆弱性やその他のルーチンをスキャンに組み込む方法について説明します。
  - AppScan® Source Security Knowledgebase の拡張
    このセクションでは、脆弱性データベースをカスタマイズし、カスタマイズした脆弱性やその他のルーチンをスキャンに組み込む方法について説明します。カスタム・ルールを使用して、AppScan® Source Security Knowledgebase (脆弱性データベース) を自社独自のセキュリティー標準に合わせて調整し、これらの標準を社内全体で一貫して適用することができます。
  - AppScan® Source trace による入出力トレースのカスタマイズ
    一部のアプリケーション (特に Web アプリケーション) では、SQL 注入、コマンド注入、クロスサイト・スクリプティングに関連するセキュリティーの脆弱性を識別するために、入出力トレースが必要になります。AppScan® Source トレースにより、検証ルーチンを指定することができます。この検証ルーチンを使用すると、脆弱性レポートを作成する必要がなくなります。入力が検証されなかった場合は、他のすべての出力が脆弱性としてマークされます。
  - パターン・ベースのルールによるカスタマイズ
    AppScan® Source のパターン・ベースのスキャンは、カスタマイズされた検索基準に基づいてソース・コードの分析を行う機能です。パターン・ベースのスキャンは、grep と似ています (grep では、1 つ以上のファイルに対して指定された文字列やパターンを検索します)。トリアージを行う監査員またはセキュリティー・アナリストは、パターン・ベースのスキャンを使用して、特定のアプリケーションまたはプロジェクトから特定のパターンを検索する場合があります。パターンを脆弱性タイプとして定義しておくと、ソース・コードのスキャンで、そのパターンを脆弱性として識別します。一致項目が AppScan Source によって検出されると、その項目が検出結果表に表示されます。すぐに使用できる AppScan Source ルール・ライブラリーに、定義済みのルールとルール・セット (ルールの集合) が格納されています。
- アプリケーション・サーバーのインポート・フレームワークの拡張
  AppScan® Source では、Apache Tomcat および WebSphere® Application Server Liberty プロファイルから Java™ アプリケーションをインポートできます。このトピックで説明するように、アプリケーション・サーバーのインポート・フレームワークを拡張することにより、他のアプリケーションから Java アプリケーションをインポートできます。
- HCL®AppScan® Source for Development (Eclipse Plug-in)
  AppScan® Source for Development を使用すると、既存の開発環境で作業を行いながら、Java プロジェクトのセキュリティーの脆弱性を分析できます。セキュリティー分析は、ソース・コードの脆弱性を特定し、AppScan Source Security Knowledgebaseの修復支援機能を使用して脆弱性を完全に解消するのに役立ちます。
参照
HCL® AppScan® Source の参照情報 (ユーティリティー、プラグイン、および API の使用を含む) を確認します。
トラブルシューティングおよびサポート
HCL® AppScan® Source を使用している間の問題のトラブルシューティングに役立つセルフヘルプ情報、リソース、およびツール。

脆弱性データベースとパターン・ルールのカスタマイズ

このセクションでは、脆弱性データベースをカスタマイズし、カスタマイズした脆弱性やその他のルーチンをスキャンに組み込む方法について説明します。

スキャン・プロセスには、以下のステージがあります。

言語固有のスキャン: 脆弱性データベース (AppScan® Source Security Knowledgebase) を使用して実行されます。
脆弱性データベースを使用して、トレースが実行されます。
グローバル・パターン・ルール・ライブラリーに含まれるパターン・ルールを使用して、パターン・ベースのスキャンが実行されます。

カスタム・ルールを使用して、AppScan® Source Security Knowledgebaseを自社独自のセキュリティー標準に合わせて調整し、これらの標準を社内全体で一貫して適用することができます。また、パターン・ルールをカスタマイズすることもできます。