Welcome
の管理
HCL® AppScan® Source での、ユーザー・アカウントと許可の管理、ユーザー・アクティビティーの監査、および統合の管理の方法について説明します。
AppScan® Source の管理
このセクションでは、ユーザー管理、許可、アプリケーションとプロジェクトの登録、およびポート構成について説明します。
AppScan® Source ユーザーの作成
通常、管理者はユーザーが AppScan® Enterprise Server の資格情報を使用して AppScan Source 製品にログインするように設定します。しかし、何らかの理由で、AppScan Source に存在しない AppScan Enterprise Server ユーザーを管理する必要がある場合、管理者は、このトピックの説明に従って、ローカルの AppScan Source ユーザーを作成することができます。
AppScan® Enterprise Server Liberty でのローカル製品管理者ユーザーの作成
AppScan® Enterprise Server バージョン 9.0.1 では、AppScan Source を管理するために、AppScan Enterprise Server Liberty でローカル製品管理者ユーザーを作成する機能が提供されています。ユーザーを作成した後、管理者資格情報を使用して、AppScan Source Databaseを AppScan Enterprise Server に登録する必要があります。
管理者パスワードの暗号化
AppScan® Enterprise Server のローカル製品管理者ユーザーを作成する場合、server.xml ファイルに管理者ユーザーとパスワードを追加します。このトピックの説明に従って、このパスワードを暗号化することができます。

ようこそ
HCL® AppScan® Source の文書へようこそ。
新機能
AppScan® Source に追加された新機能について調べ、このリリースで廃止された機能をメモします。
インストール
HCL® AppScan® Source のインストール、アップグレード、およびアクティブ化の方法について説明します。
構成
HCL® AppScan® Source でアプリケーション、フォルダー、プロジェクトを構成し、属性とプロパティーを設定する方法について説明します。
の管理
HCL® AppScan® Source での、ユーザー・アカウントと許可の管理、ユーザー・アクティビティーの監査、および統合の管理の方法について説明します。
- AppScan® Source の管理
  このセクションでは、ユーザー管理、許可、アプリケーションとプロジェクトの登録、およびポート構成について説明します。
  - ユーザー・アカウントと許可
    AppScan® Source ユーザーがスキャンまたは結果のトリアージを開始するには、管理者がユーザー・アカウントを作成し、そのアカウントに許可を割り当てる必要があります。
  - スタンドアロン・モードでの AppScan® Source for Analysis の使用
    AppScan® Source for Analysis は AppScan Enterprise または AppScan Database Service に接続されていないときに使用できます。ただし、スキャンまたは評価を他の AppScan Source クライアントと共有できません。
  - AppScan® Source ユーザーの作成
    通常、管理者はユーザーが AppScan® Enterprise Server の資格情報を使用して AppScan Source 製品にログインするように設定します。しかし、何らかの理由で、AppScan Source に存在しない AppScan Enterprise Server ユーザーを管理する必要がある場合、管理者は、このトピックの説明に従って、ローカルの AppScan Source ユーザーを作成することができます。
    - AppScan® Enterprise Server 認証:IBM® Rational® Jazz™ ユーザー認証コンポーネントの IBM® WebSphere® Liberty への置き換えに関するマイグレーションの考慮事項
      このトピックでは、旧バージョンの AppScan® Enterprise Serverからアップグレードする場合に考慮する必要がある、ユーザー管理に関連するマイグレーションの考慮事項について説明します。
    - AppScan® Enterprise Server ユーザーの自動ログインを構成
      デフォルトでは、AppScan® Enterprise Server ユーザーは AppScan Source にログインすることができ、自動的に AppScan Source Database に追加されます (これらのユーザーは、AppScan Enterprise Server ユーザーとしてリストされます)。このトピックの説明に従い、AppScan Source for Analysis ユーザー・インターフェースで、このフィーチャーを構成することができます。
    - AppScan® Enterprise Server Liberty でのローカル製品管理者ユーザーの作成
      AppScan® Enterprise Server バージョン 9.0.1 では、AppScan Source を管理するために、AppScan Enterprise Server Liberty でローカル製品管理者ユーザーを作成する機能が提供されています。ユーザーを作成した後、管理者資格情報を使用して、AppScan Source Databaseを AppScan Enterprise Server に登録する必要があります。
      - LDAP を使用して構成されている AppScan® Enterprise Server のローカル製品管理者ユーザーの作成
      - Windows™ 認証を使用して構成されている AppScan® Enterprise Server のローカル製品管理者ユーザーの作成
      - 管理者パスワードの暗号化
        AppScan® Enterprise Server のローカル製品管理者ユーザーを作成する場合、server.xml ファイルに管理者ユーザーとパスワードを追加します。このトピックの説明に従って、このパスワードを暗号化することができます。
    - Automation Server のユーザー・アカウントの作成
      Automation Server を使用するためにはユーザー・アカウントが必要です。このユーザー・アカウントは、インストール時に、またはインストール後にコマンド行を使用して、Automation Server に登録しなければなりません。対応する AppScan® Source ユーザー・アカウントも、インストール後に AppScan Source for Analysis または AppScan Source command line interface (CLI) を使用して手動で作成する必要があります。このトピックでは、AppScan Source for Analysis を使用してこのアカウントを作成する方法を説明します。
- ユーザー・アクティビティーの監査
  AppScan® Source は、ユーザー・アクティビティーを監査するための便利な機能を提供します。「監査」ビューでは、AppScan Enterprise Server に対する認証、新規ユーザーの作成、データベースでの新規ルールの作成などのイベントが記録されます。
- AppScan® Enterprise Server 製品から AppScan® Source へのログイン
  大部分の AppScan® Source 製品とコンポーネントでは、AppScan Enterprise Server への接続が必要です。このサーバーは、一元的ユーザー管理機能と、評価を共有するためのメカニズムを提供します。すべてのユーザー管理は AppScan Enterprise で行われます。
- LDAP 統合
  LDAP を介して認証される AppScan® Source ユーザーを追加するには、LDAP リポジトリーを使用するように AppScan Enterprise Server ユーザー・リポジトリーを構成しておく必要があります。
- AppScan® Source に公開するためのアプリケーションおよびプロジェクトの登録
- AppScan® Source アプリケーション、フォルダー、プロジェクト・ファイル
  AppScan® Source のアプリケーション、フォルダー、プロジェクトには、スキャンおよびトリアージのカスタマイズに必要な構成情報を保守する対応ファイルがあります。プロジェクトをビルドするために必要な構成情報 (依存関係やコンパイラー・オプションなど) は、AppScan Source がプロジェクトを正常にスキャンするために必要な構成情報と非常に似ているため、これらのファイルはソース・コードと同じディレクトリーに配置することをお勧めします。ベスト・プラクティスには、これらのファイルをソース・コントロール・システムで管理する方法があります。
- ポート構成
スキャン
このセクションでは、HCL® AppScan® Source におけるソース・コードのスキャン方法および評価の管理方法について説明します。
トリアージおよび分析
類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® Source 評価のトリアージを行い、結果を分析する方法について説明します。
レポート作成
セキュリティー・アナリストおよびリスク・マネージャーは、選択された検出結果のレポート、またはソフトウェア・セキュリティーのベスト・プラクティスおよび法的要件へのコンプライアンスを測定するための一連の監査レポートにアクセスできます。このセクションでは、集約された検出結果データのレポートを作成する方法について説明します。
プロダクト機能の拡張
特定の開発要件を満たすために製品を拡張する方法について説明します。
参照
HCL® AppScan® Source の参照情報 (ユーティリティー、プラグイン、および API の使用を含む) を確認します。
トラブルシューティングおよびサポート
HCL® AppScan® Source を使用している間の問題のトラブルシューティングに役立つセルフヘルプ情報、リソース、およびツール。

管理者パスワードの暗号化

AppScan® Enterprise Server のローカル製品管理者ユーザーを作成する場合、server.xml ファイルに管理者ユーザーとパスワードを追加します。このトピックの説明に従って、このパスワードを暗号化することができます。

(LDAP を使用して構成されている AppScan Enterprise Server のローカル製品管理者ユーザーの作成または Windows 認証を使用して構成されている AppScan Enterprise Server のローカル製品管理者ユーザーの作成の説明に従って) server.xml ファイルを編集する際に、securityUtility ツールを使用して、管理者ユーザーのパスワードをエンコードできます。Windows™ の場合、このツールは AppScan® Enterprise Server インストール・ディレクトリー内の Liberty\bin にあります。Linux™ の場合は、このツールは Liberty/bin にあります。securityUtility エンコード・コマンドを実行するときに、エンコードするパスワードをコマンド行から入力として指定します。引数が指定されていない場合、ツールはパスワードの入力を要求するプロンプトを出します。次に、ツールはエンコードされた値を出力します。例えば、ADMIN のパスワード値をエンコードするには、securityUtility encode ADMIN コマンドを実行します。これにより、出力値 {xor}HhsSFhE= が生成されます。

ツールによって生成された値をコピーして、basicRegistry セクションを server.xml ファイルに追加する際に、この値をパスワードに使用します。例えば、以下をファイルに追加します。

<basicRegistry id="basic" realm="customRealm">
  <user name="ADMIN" password="{xor}HhsSFhE=" />
</basicRegistry>