ルールの更新

AppScan® Source バージョン 10.10.0 のルールの更新


言語	CWE	説明
C#	CWE-89	SQLi 検出のノイズを低減します。
CSS	CWE-79	`.css` ファイルのハードコードされた変数チェックで検出されたノイズを低減します。
Go	CWE-79	`fprintf` チェックで発生するノイズを低減します。
IaC Docker	CWE-22	DockerFile に追加されている機密パスをチェックします。
IaC Kubernetes	CWE-209	`.yaml` 構成ファイルに残されたスタック・トレース・コードのチェックが追加されました。
Java	CWE-78	`Runtime.getRunTime()` のインライン・コールを検索します。
	CWE-757	安全でない、および破損しているものに対するチェックリストを拡充しました。
	CWE-916	`PBEKeySpec` と `PBEParameterSpec` の脆弱な反復回数をチェックします。
	CWE-1188	大規模な値またはユーザー制御の値を使用し、`StringBuilder` コンストラクターでサービス拒否をチェックします。
	CWE-209	コード内における `System.out` と `System.err` の使用状況 (本番コードから削除されるべきデバッグ・コール) をチェックします。
PDP	CWE-89	`sqlite_escape_string` のバリデーター・チェックが追加されました。
Python	CWE-78	`os.system` の安全でない使用を探します。
Python	CWE-79	Python Django のルールの明確さが向上しました。
シークレット	CWE-798	ノイズの多いパターンの一部は検出結果として削除されました。
	CWE-798	`web.config` ファイルでハードコードされた資格情報を確認します。
	CWE-1051	IP アドレスではないにもかかわらずそのように見える文字列を回避するために調整された、ハードコードされた IP アドレスをチェックします。
	CWE-1051	ハードコードされた IP アドレス・チェックのノイズ・パターンを削除しました。
	CWE-798	ハードコードされた資格情報のノイズ・パターンを削除しました。 Rust コードでノイズの多いパターンは避けてください。 Python ファイルの引用符がない検出結果を除去するため、秘密 - 資格情報 - 鍵: 値ペア・ルールにチェックが追加されました。 `1234`、`wrongpassword`、`testpassword`、`noreply` などのノイズの多いパスワードをフィルタリングするため、チェックが追加されました。 `1234` を含むパスワードなどの検出結果を除去するため、他のスニペットが調整されました。現在の鍵: 値ペア・ルールは、行末までのコンテキストを検出します。そのため、`,` または `"` がある行末を削除しました。
	CWE-1051	ノイズ低減: ハードコードされた IP アドレスのチェックで類似したバージョン番号を回避します
	CWE-798	Atlassian シークレット検出のノイズを低減します。
	CWE-798	シークレットのキーと値のペアに含まれるノイズを低減します。
	CWE-798	対象範囲を拡大し、ハードコードされたパスワードの一部として文字列に含まれる 1234 のパスワードを検出します。

AppScan® Source バージョン 10.9.0 のルールの更新

注:

新規ルール


言語	CWE	説明
すべての言語	CWE-798	ノイズ低減の改善
C#	CWE-1333	正規表現オブジェクトに適用されたタイムアウトの確認¹
	CWE-89	`String.Append` を使用してクエリーを作成することによる SQLi の新しいキャプチャー
		`Microsoft.CodeAnalysis.CSharp.Scripting` と `Microsoft.AspNetCore.Mvc.ViewFeatures` 用に更新されたセキュリティー情報
C# ソース・コード・スキャナー	CWE-94	`CSharpScript.EvaluateAsync` のチェック。¹
	CWE-532	ユーザー名やパスワードなど個人識別情報 (PII) のログのチェック。¹
	CWE-111	`DllImport` の危険な使用のチェック。¹
ColdFusion	CWE-328	パフォーマンスを向上させるためのチェックを調整
HTML	CWE-319	URL で localhost スタイルのノイズが発生しないようにします
IaC	CWE-311	Amazon Load Balancer で適切な TLS 設定用の追加チェック
Java ソース・コード・スキャナー	CWE-532	ユーザー名やパスワードなど個人識別情報 (PII) のログのチェック。¹
	CWE-102	Struts 検証 XML ファイル内の重複フォーム名のチェック。¹
	CWE-104	`ActionForm` を検証しないで拡張するクラスのチェック。¹
JavaScript	CWE-598	JavaScript ファイルで `URLSearchParams` の欠陥を探しています。¹
PHP	CWE-111	安全でない呼び出しを含む `FFI::cdef` の使用のチェック。¹
Python	CWE-502	Java で安全でない反映を探しています¹
Python	CWE-111	引数の完全修飾パスを使用しない `ctypes.DLL` の使用のチェック。¹

AppScan® Source バージョン 10.8.0 のルールの更新

注:

新規ルール
ルール内のノイズを低減しました


言語	CWE	説明
ASP.NET	CWE-1188	プロジェクト構成で Cookieless セッション状態が有効になりました。²
ASP.NET	CWE-79	コード内のインライン式の潜在的な XSS。²
C#	CWE-601	変数内にユーザー制御データを持つ可能性のあるリダイレクトの要求。²
	CWE-185	正規表現のインジェクション。²
	CWE-78	OS インジェクションのノイズの多い検出結果を削減するための調整。
HTML	CWE-79	ファイル拡張子の新しいルール: htm html rhtml xhtml cshtml vbhtml
	CWE-319
	CWE-524
	CWE-525
	CWE-598
	CWE-1021
	CWE-1022
IaC	CWE-798	TypeScript コード構成に対するノイズの多い検出結果を削減するための調整。
	CWE-1051	HTML ファイルの IP パターンのノイズの多い検出結果を削減するための調整。
	CWE-1328	Docker イメージ参照のノイズの多い検出結果を削減するための調整。
IaC Terraform	CWE-410	安全でないロード・バランサーの設定。¹
Java	CWE-337	Java コードにおける `SecureRandom` インスタンスのシードが予測可能。²
	CWE-918	`RestTemplate().exchange` におけるサーバーサイド・リクエスト・フォージェリー。²
	CWE-185	Java コードにおける正規表現のインジェクション。²
	CWE-244	Java 文字列オブジェクトに格納されたパスワード。²
JavaScript	CWE-79	`document.referrer`. の安全でない使用。²
	CWE-209	ノイズの多い検出結果を回避するための変更
	CWE-359	ノイズの多い検出結果を回避するための変更
	CWE-1022	window`.open` の検出結果に対するノイズの多い検出結果を削減するための調整。
PHP	CWE-79	PHP 内のユーザー制御データが HTML に変換される。²
Python Django	CWE-79	HTML ファイルを収集して Python をレビューするようになりました新規ルールが追加されました。
	CWE-89
	CWE-200
	CWE-201
	CWE-212
	CWE-352
	CWE-497
	CWE-522
	CWE-523
	CWE-795
	CWE-918
	CWE-1021
	CWE-1188
	CWE-1295
シークレット	CWE-798	ハードコードされた基本認証資格情報。¹
	CWE-798	URL クエリー文字列内のハードコードされたパスワードを検索。
	CWE-284	Azure 共有アクセス・シグニチャー・トークン露出結果でノイズの多い検出結果を削減するための調整。
VB.NET	CWE-502	シリアル化解除の可能性。²
Visual Basic	CWE-78	ノイズの多い検出結果を回避するための変更
Visual Basic	CWE-328	ノイズの多い検出結果を回避するための変更

AppScan® Source バージョン 10.7.0 のルールの更新

新規ルール
ルール修正


言語		CWE	変更
全般		CWE-319	全言語のオープン・コミュニケーション・ルールの処理を改善して、ノイズの多い検出結果を回避します。
.NET	ASP.NET	CWE-1188	ASP.NET プロジェクト構成で Cookieless セッション状態が有効になりました。
	C#	CWE-319	オープン通信スキームを検出しました。
		CWE-328	脆弱な暗号アルゴリズムを検出しました。
		CWE-327	署名検証のない JWT Builder を検出しました。
	VB.NET	CWE-1173	VB コードで HTTP 要求の検証が無効になっています。
	VB.NET	CWE-328	VB コードで脆弱な暗号化アルゴリズムが使用されています。
Angular		CWE-94	サンドボックス VM に潜在的なコード・インジェクションの脆弱性があります。^1.
Angular		CWE-312	ローカルストレージが並べ替えの方向に関連する `setItem` 呼び出しを回避する。
「AngularJS と AllFolders」プロパティー・タブ		CWE-477	見つかった非推奨の呼び出し: (ng-bind-html-unsafe)。
Apex		CWE-943	SOQL インジェクション。
		CWE-943	SOSL インジェクション。
		CWE-328	脆弱なハッシュ・アルゴリズムが選択されています。
		CWE-79	スクリプトまたはスタイルのクロスサイト・スクリプティング (XSS)。
ASP		CWE-319	ASP コードでオープン通信スキームが検出されました。
ASP		CWE-79	`Server.HTMLEncode` を使用して適切な検証を確認する。
C/C++		CWE-367	一時ファイル名関数の潜在的に危険な使用。コンテキストを訂正しました。^2.
		CWE-78	潜在的なコマンド・インジェクションを検出しました。範囲の拡大。²
		CWE-250	最小権限の原則に違反していると思われる `CreateFile` 呼び出し。
		CWE-250	`CreateNamedPipe` に `FILE_FLAG_FIRST_PIPE_INSTANCE` フラグがない。
		CWE-757	(SSL/TLS) プロトコルの安全ではない使用を検出しました。
		CWE-295	危険の可能性がある Curl 構成の使用を検出しました (このカテゴリーには異なる 7 種類のルールがあります)。
		CWE-427	レジストリー操作の最小特権原則の可能性を検出しました。
		CWE-611	安全でない外部エンティティー処理が有効です。
ColdFusion		CWE-524	`cfCache` が安全なページをキャッシング。
		CWE-502	`cfWddx` に WDDX 検証がない。
		CWE-862	`cfFunction` でクライアントが検証されない。
		CWE-319	安全ではない通信。
		CWE-307	複数の送信の検証。
		CWE-327	暗号化関数での安全でないアルゴリズムの使用。
CSS		CWE-79	ノイズの多い検出結果を回避するための調整。
Dart		CWE-522	潜在的に機密性の高いフィールドに対して `AutoComplete` がオンになっている。
		CWE-319	`HttpServer` でオープン通信スキームを検出しました。
		CWE-319	オープン・ソケット通信を検出しました。
		CWE-319	Uri があるオープン通信スキームを検出しました。
		CWE-79	DART コードで安全ではないウィンドウのオープンが行われています。
		CWE-319	ストリングでオープン通信スキームを検出しました。
		CWE-79	安全でないコンテンツ・セキュリティー・ポリシー・キーワードが見つかりました。
		CWE-328	検出結果をより選択的に表示して、明らかにノイズである検出結果を回避します。
		CWE-319	ノイズの多い検出結果を回避するための調整。
Docker		CWE-770	サービス拒否 (DoS) 攻撃防止のために CPU を制限します。
Docker		CWE-770	サービス拒否 (DoS) 攻撃防止のために失敗時の再起動回数を制限します。
Go		CWE-489	HTTP 用のデバッグ・パッケージ pprof を検出しました。
		CWE-1004	Golang コードに安全でない `http.Cookie` が含まれています。
		CWE-319	Golang コードでオープン通信スキームを検出しました。
Groovy		CWE-319	Groovy コードでオープン通信スキームを検出しました。
Groovy		CWE-79	Groovy ソース・コードで検出された潜在的なクロスサイト・スクリプティング脆弱性。
Java		CWE-489	Web セキュリティーでデバッグを有効にすると、Spring のデータが表示されます。
		CWE-1390	SAML のコメントを無視すると、認証に失敗します。
		CWE-548	Tomcat 構成のデフォルト・サーブレットのディレクトリー一覧が安全ではありません。
		CWE-276	Java で安全ではないファイル許可の使用を検出しました。
		CWE-489	Java コードでプリント・スタック・トレースを検出しました。
		CWE-489	Android アプリケーションでデバッグ可能フラグが true に設定されている。
		CWE-1188	Android コードで不適切な共用プリファレンス・モードを検出しました。
JavaScript		CWE-359	安全ではないイベント送信ポリシー: コンテキストを訂正。²
		CWE-79	`jQuery.append` で潜在的な XSS の脆弱性を検出。現在はパフォーマンスが向上。²
		CWE-79	Mustache のエスケープ・メソッドをオーバーライドするのは危険です。
		CWE-319	安全ではないイベント送信ポリシー。
		CWE-200	危険なターゲット・オリジン・チェックのチェックが `window.postMessage` 呼び出しに追加された。
		CWE-913	ノイズの多い検出結果を回避するための修正。
Java ソース・コード・スキャナー		CWE-918	`RestTemplate().exchange` 呼び出しで SSRF を検索。
		CWE-303	`NoOpPasswordEncoder.getInstance` の危険な呼び出しを検索。
		CWE-89	SQLi の追加ケースを探索。
		CWE-22	パス・トラバーサルの問題が発生する可能性をより多くの場所で探索。
		CWE-798	`HashMap.put` 呼び出しおよびセッターでハードコードされた資格情報を検索。
Jquery		CWE-79	ノイズの多い検出結果を回避するための修正。
Kotlin		CWE-319	Kotlin コードでオープン通信を検出。
NodeJS		CWE-614	Cookie にセキュリティー・フラグがないか、フラグにセキュアではない値が設定されています。
		CWE-328	暗号化機能 `createCipheriv` で安全でないアルゴリズムが使用されています。
		CWE-295	node-curl を使用不可にするための SSL 証明書を検証する安全でない設定。
		CWE-78	Exec シェル生成を検出。
		CWE-1004	欠落している `HTTPOnly` cookie 属性の安全でない設定。
Objective-C		CWE-319	Objective-C コードでオープン通信スキームを検出。
Objective-C		CWE-798	ノイズの多い検出結果をさらに回避する修正。
PHP		CWE-10041¹	`HttpOnly` フラグのない機密 Cookie。
		CWE-614¹	`secure` 属性のない HTTPS セッションの機密 Cookie。
		CWE-791¹	組み込み PHP 変数を検出。
		CWE-98¹	PHP コードで潜在的なファイル・インクルージョン脆弱性を検出。
		CWE-611¹	PHP コードで潜在的な XML 外部エンティティー・インジェクションを検出。
		CWE-78	ユーザー提供データを使用する可能性のある PHP コマンドの実行。範囲の拡大。²
		CWE-644	潜在的なヘッダー・インジェクションを検出。範囲の拡大。²
		CWE-327	安全でないアルゴリズムの使用を検出。チェックおよび対象範囲の拡大。²
		CWE-319	PHP Symfony フレームワークでオープン通信を検出。
		CWE-1004	`setcookie` の `HTTPOnly` フラグがないか、安全でない。
		CWE-319	オープン通信スキームを検出しました。
		CWE-544	`error_reporting` ディレクティブがエラー・レポートの可能な最高レベルを許可するように設定されていない
		CWE-798	値をチェックして、コードにプレーン・テキストで格納されているパスワードであると思われる文字列リテラルであるかどうかを確認します。
PL/SQL		CWE-331	`DBMS_RANDOM` の安全でない使用。
Python		CWE-311	`http` を使用する URL。範囲の拡大。²
		CWE-311	一時ファイルの TOCTTOU 競合状態。範囲の固定。²
		CWE-367	一時ファイルの TOCTTOU 競合状態。
		CWE-319	`http` を使用する URL。
		CWE-78	Python OS インジェクション。
		CWE-319	セキュアではない FTP の使用。
		CWE-78	Popen コマンド・インジェクション。
		CWE-276	777 を umask とともに使用。
ReactNative		CWE-319	オープン通信を検出。コンテキストを訂正しました。^2.
		CWE-319	オープン通信を検出。
		CWE-295	SSL Pinning の無効化を検出。
RPG		CWE-319	コードでオープン通信を検出。
Ruby		CWE-78	バックティック正規表現の安全ではない使用の改善が必要です。範囲の拡大。²
		CWE-78	バックティックの安全でない使用。範囲の拡大。²
		CWE-425	Ruby の一括割り当て。
		CWE-359	Ruby の情報開示。
Scala		CWE-319	Scala コードでオープン通信スキームを検出しました。
Scala		CWE-79	Cookie アクセス経由の潜在的なクライアント・サイド・スクリプティング脆弱性を Scala ソース・コードで検出しました。
シークレット		CWE-1051	ハードコードされた IP アドレスを検出。範囲の拡大。²
		CWE-798	ハードコードされた資格情報を検出。範囲の拡大。²
		CWE-798	最小化された JS ファイルを回避。
		CWE-798	翻訳ファイルの分析を回避してノイズを削減します。
Swift		CWE-319	Swift コードでオープン通信スキームを検出しました。
Swift		CWE-79	iOS `UIWebView` で `loadRequest()` を使用する際の潜在的なクロスサイト・スクリプティング脆弱性。
Terraform		CWE-359	ユーザー・データ・シークレットを公開する AWS インスタンスを検出。
		CWE-778	Azure ログ監視プロファイルでは、すべての必須カテゴリーを定義することが必要。
		CWE-732	デフォルトのサービス・アカウントが、フォルダー、プロジェクト、または組織レベルで使用されています。
		CWE-671	E メール・サービスと共同管理者が SQL サーバーで有効になっていません。
		CWE-923	Azure ストレージ・アカウントのデフォルト・ネット・ワーク・アクセスが「拒否」に設定されるようにします。
		CWE-923	GCP ファイアウォール・ルールでアクセスを無制限に許可しないようにします。
		CWE-732	Google Compute インスタンスがパブリックにアクセス可能です。
		CWE-732	Google ストレージ・バケットがパブリックにアクセス可能です。
		CWE-732	Amazon S3 バケットの安全ではないアクセス許可。
		CWE-1220	エグレス・セキュリティー・グループ `cidr_blocks` の新しいルール・チェックの設定が寛容すぎる。
TypeScript		CWE-943	TypeScript ファイルで NoSQL MongoDB インジェクションを探索。
TypeScript		CWE-943	SQLi の追加ケースを探索。
Visual Basic		CWE-319	VB コードでオープン通信スキームが検出されました。
VueJS		CWE-79	メソッド宣言で見つかった場合に、検出結果が生成されないように変更しました。
Xamarin		CWE-319	Xamarin でオープン通信を検出。