Welcome
トリアージおよび分析
類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® Source 評価のトリアージを行い、結果を分析する方法について説明します。
AppScan® Source トレース
AppScan® Source トレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。
トレースのコード例
このセクションでは、汚染されたデータをソースからシンクまで追跡するコード例と、検証ルーチンとエンコード・ルーチンの作成方法を示します。
例 1: ソースからシンク

ようこそ
HCL® AppScan® Source の文書へようこそ。
新機能
AppScan® Source に追加された新機能について調べ、このリリースで廃止された機能をメモします。
インストール
HCL® AppScan® Source のインストール、アップグレード、およびアクティブ化の方法について説明します。
構成
HCL® AppScan® Source でアプリケーション、フォルダー、プロジェクトを構成し、属性とプロパティーを設定する方法について説明します。
の管理
HCL® AppScan® Source での、ユーザー・アカウントと許可の管理、ユーザー・アクティビティーの監査、および統合の管理の方法について説明します。
スキャン
このセクションでは、HCL® AppScan® Source におけるソース・コードのスキャン方法および評価の管理方法について説明します。
トリアージおよび分析
類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® Source 評価のトリアージを行い、結果を分析する方法について説明します。
- 検出結果の表示
  「検出結果」ビュー、または検出結果が含まれるすべてのビューで、スキャンごとに、「検出結果ツリー」(評価基準の階層グループ) と検出結果表が表示されます。検出結果ツリーで選択されている項目により、表に表示される検出結果が決まります。
- AppScan® Source トリアージ・プロセス
  トリアージ・プロセスには、バンドル、フィルター、および除外による検出結果の操作と、評価結果の比較が含まれます。
- トリアージの例
  この例では、セキュリティー・アナリストが使用する AppScan® Source トリアージ・ワークフローについて説明します。トリアージ・ワークフローは、ビジネス上の要求によって変わる場合があります。
- フィルターを使用したトリアージ
  AppScan® Source for Analysis は、すべての潜在的なセキュリティーの脆弱性について報告するため、中規模から大規模のコード・ベースに適用した場合、膨大な量の検出結果を生成する可能性があります。スキャンを実行したときに、重要でない項目が検出結果のリストに含まれることもあります。「検出結果」ビューから特定の検出結果を削除するために、事前定義フィルターを選択するか、独自のフィルター を作成することができます。フィルターは、ビューから削除する検出結果を決定する基準を指定します。
- 除外を使用したトリアージ
  スキャン後に、一部の検出結果が現在の作業に関係ないと判断した場合、スキャン結果のトリアージを行う際にその検出結果を検出結果表に表示しないようにします。これらの除外 (または除外された検出結果) は、「検出結果」ビューに表示されなくなり、評価メトリックは、変更された結果によって直ちに更新されます。構成に追加されたフィルターおよびバンドルの除外は、後続のスキャンに対してのみ実施されます。
- バンドルの操作
  バンドル (検出結果をグループ化するメカニズム) を使用すると、AppScan® Source for Analysis から AppScan Source for Development に、検出結果のスナップショットをインポートすることができます。検出結果をバンドルにすると、AppScan Source for Development を使用して、バンドルが含まれたプロジェクトを開いたり、バンドルをインポートしたり、保存されたバンドル・ファイル (file_name.ozbdl) を開いたりできます。
- 静的分析修正グループの使用
  修正グループは、静的分析スキャンで見つかった問題を管理、トリアージおよび解決するための新しいアプローチです。静的スキャンを実行すると、AppScan® Source は問題を脆弱性タイプおよび必要な修復タスクに基づいて修正グループに整理します。
- 検出結果の変更
  変更された検出結果とは、脆弱性タイプ、分類、または重大度が変更された検出結果、あるいは注釈が付けられた検出結果です。「変更された検出結果」ビューには、現在のアプリケーション (アプリケーションの評価を開いた結果、アクティブになっているアプリケーション) について、これらの検出結果が表示されます。「自分の評価」ビュー ( AppScan® Source for Analysisでのみ使用可能) では、「変更済み」列に、検出結果が現在の評価で変更されたかどうかが示されます。
- 検出結果の比較
  「差分評価」アクションまたは AppScanDelta ユーティリティーを使用して、評価を比較します。2 つの評価を比較すると、両者の差異は「差分評価」ビューまたは .ozasmt ファイルに表示されます。結果では、新規、修正された/存在しない、および共通の検出結果が要約されます。
- カスタム検出結果
  分析結果を補強するために、カスタム検出結果を作成することができます。これはユーザーが作成する検出結果であり、AppScan® Source for Analysis が、現在開いている評価または選択されたアプリケーションにこの検出結果を追加します。カスタム検出結果は、評価のメトリックに影響します。また、レポートに含めることができます。作成したカスタム検出結果は、以降のアプリケーションのスキャンに自動的に含められます。
- セキュリティー問題の解決と修復支援の表示
  AppScan® Source は、セキュリティー・エラーまたは一般的な設計上の障害について警告し、解決のプロセスを支援します。AppScan Source Security Knowledgebaseや、内部または外部のコード・エディターが、このプロセスで役立ちます。
- サポートされる注釈と属性
  コードの装飾に使用される一部の注釈および属性は、スキャン中に処理されます。スキャン中に、サポートされる注釈または属性がコード内で検出されると、装飾されたメソッドに、汚染されたコールバックとしてマークを付けるために、その情報が使用されます。汚染されたコールバックとしてマークされたメソッドは、すべての引数に汚染されたデータがあるものとして扱われます。その結果、トレースでより多くの検出結果が得られます。このヘルプ・トピックでは、サポートされる注釈および属性のリストを示します。
- AppScan® Source トレース
  AppScan® Source トレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。
  - AppScan® Source trace スキャン結果
    スキャンの結果には、AppScan® Source trace によって検出されたトレース情報が含まれる場合があります。「トレース」列内のアイコンは、呼び出しグラフのトレース情報が存在することを示します。
  - 入出力トレース
    入出力トレース 情報は、既知のソースからシンク または逸失シンクへのデータを AppScan® Source for Analysis で追跡できる場合に生成されます。
  - 「トレース」ビューの使用
  - 検証とエンコードの有効範囲
    「トレース」ビューから、カスタムの検証ルーチンとエンコード・ルーチン (AppScan® Source Security Knowledgebaseに格納されているルーチン) を指定することにより、データを汚染されたデータとしてではなくチェック済みデータとしてマークを付けることができます。これに該当するルーチンは、それらの有効範囲に基づいてカスタム・ルール・ウィザードで定義します。
  - AppScan® Source trace によるカスタム・ルールの作成
    カスタム・ルールは「トレース」ビューから作成できます。カスタム・ルールにより、汚染伝播元のトレース、汚染の可能性のないトレース、またはシンクであるトレースを持つ検出結果をフィルター除外できますまた、トレース内のメソッドに検証/エンコード・ルーチンとしてマークを付ける (または、それらが検証/エンコード・ルーチンでないことを示す) こともできます。
  - トレースのコード例
    このセクションでは、汚染されたデータをソースからシンクまで追跡するコード例と、検証ルーチンとエンコード・ルーチンの作成方法を示します。
    - 例 1: ソースからシンク
    - 例 2: ソースからシンクへの変更
      例 2 は、例 1 のコードを変更したものです。検証ルーチンの getVulnerableSource と、writeToVulnerableSink で呼び出されるエンコード・ルーチンを追加することで、例 1 を改善しています。
    - 例 3: ソースとシンクのファイルが異なる場合
    - 例 4: 詳細な検証
      例 4 のコードを調べると、最初のスキャンには、対応するトレース・ルーチンをルートとする 3 つの AppScan® Source tracesが記述されていることがわかります。この例では、trace1 での FileInputStream.read メソッドの選択と validate ルーチンの追加が仮定されています。サンプル・ソース・コードに続くセクションでは、検証ルーチンの有効範囲ごとの影響について説明しています。
レポート作成
セキュリティー・アナリストおよびリスク・マネージャーは、選択された検出結果のレポート、またはソフトウェア・セキュリティーのベスト・プラクティスおよび法的要件へのコンプライアンスを測定するための一連の監査レポートにアクセスできます。このセクションでは、集約された検出結果データのレポートを作成する方法について説明します。
プロダクト機能の拡張
特定の開発要件を満たすために製品を拡張する方法について説明します。
参照
HCL® AppScan® Source の参照情報 (ユーティリティー、プラグイン、および API の使用を含む) を確認します。
トラブルシューティングおよびサポート
HCL® AppScan® Source を使用している間の問題のトラブルシューティングに役立つセルフヘルプ情報、リソース、およびツール。

例 1: ソースからシンク

以下のサンプル・コードでは、文字列を返す getVulnerableSource というメソッドが main メソッドから呼び出されます。メソッドはまったくの未知のファイルからデータを読み取りますが、返されたデータの妥当性をチェックしないことに注意してください。次に、この汚染されたデータが main メソッドから writeToVulnerableSink に渡されます。writeToVulnerableSink メソッドは、受け取ったデータをファイルに書き出します。その際、データの妥当性は検査されません。

import java.io.*;

public class TestCase_IOT_Static {
  public static void main(String[] args) {
    try {
      writeToVulnerableSink(getVulnerableSource(args[0]));
    } catch (Exception e) {
    }
  }

  public static String getVulnerableSource(String file)
    throws java.io.IOException, java.io.FileNotFoundException {
    FileInputStream fis = new FileInputStream(file);
    byte[] buf = new byte[100];
    fis.read(buf);
    String ret = new String(buf);
    fis.close();
    return ret;
  }

  public static void writeToVulnerableSink(String str)
    throws java.io.FileNotFoundException {
    FileOutputStream fos = new FileOutputStream(str);
    PrintWriter writer = new PrintWriter(fos);
    writer.write(str);
  }
}

このコード・サンプルは次のトレースを生成します。

「トレース」ビュー

このペインは、main が getVulnerableSource を呼び出し、これが FileInputStream.read を呼び出す入力スタックと、main が writeToVulnerableSink を呼び出し、これが PrintWriter.write を呼び出す出力スタックを示しています。グラフには、read メソッドから write メソッドまでのデータ・フローと、2 つの呼び出しスタックをつなぐ main が表示されていますデータ・フローのセクションには、main メソッドにおいて汚染されたデータが渡される操作の行番号が表示されています。この例では、両方のメソッド呼び出しがメソッド内の同じ行 (15 行目) に存在します。(上記のサンプル・コードでは、行番号 7 に変換されます。画面キャプチャーでは、ファイルに 8 行のコメントが含まれています)。