セキュリティー・スキャンのためのプロジェクト・プロパティーの構成

セキュリティー・スキャンのための Java プロジェクトを構成するには、このトピックの説明に従ってください。

手順

  1. メイン・メニューから、「セキュリティー分析」 > 「スキャンの構成」 > 「セキュリティーのためのプロジェクト構成」の順に選択します。
  2. ワークスペースに複数のプロジェクトが含まれている場合は、「プロジェクトの選択」ダイアログ・ボックスが開きます。このダイアログ・ボックスで、構成するプロジェクトを選択して「OK」をクリックします。
  3. 「JDK の構成」をクリックして Java と JSP のコンパイラーを設定した後、スキャンに使用する JDK をリストから選択して指定します。デフォルトでは、AdoptOpenJDK 11 が使用されます。AppScan® Source では、JDK 1.8 (64 ビット) を選択することもできます。あるいは、別の JDK を追加することもできます。代替 JDK を指定する場合は、64 ビットである必要があります。
    注: 製品に付属の JSP プロジェクトのデフォルト・コンパイラーは、Tomcat 9 です。これには、Java バージョン 1.8 以上が必要です。Tomcat 8 を使用している場合、古い JDK を選択すると、スキャン中にコンパイル・エラーが発生します。
  4. JSP 設定: 以下のオプションを使用して、指定されたプロジェクトに必要な JSP 設定を構成します。
    1. JSP の設定
    オプション 説明
    Web コンテンツを含む このチェック・ボックスは、プロジェクトが JavaServer Pages を含む Web アプリケーションである場合に選択します。
    Web コンテキスト・ルート 「Web コンテキスト・ルート」を手動で選択するか、「検索」をクリックして検索します。「Web コンテキスト・ルート」は、ディレクトリーを含む 1 つの WAR ファイルまたは WEB-INF ディレクトリーです。Web コンテキスト・ルートは、有効な Web アプリケーションのルートである必要があります。
    JSP コンパイラーの使用 プロジェクトの「JSP コンパイラー」を選択します。製品に付属の Tomcat 9 が、デフォルトの JSP コンパイラー設定です (デフォルト JSP コンパイラーは「Java およびJSP」設定ページで変更できます)。AppScan® Source でサポートされるコンパイラーについて詳しくは、システム要件およびインストールの前提条件 を参照してください。

    Apache Tomcat バージョン 9 は、AppScan® Source のインストール済み環境に含まれています。外部のサポート対象 Tomcat コンパイラーを使用する場合、「Tomcat External」設定ページを使用して、ローカル Tomcat インストールを参照するようにします。AppScan® Source は、現在デフォルトとしてマークされているアプリケーション・サーバー JSP コンパイラーを使用して、JSP ファイルをコンパイルします。

    Oracle WebLogic Server または WebSphere® Application Server を使用する場合は、適切な設定ページで、アプリケーション・サーバーのローカルのインストール済み環境を示すように構成して、分析時にそれを JSP コンパイルに使用できるようにする必要があります。この構成をまだ完了していない場合は、JSP コンパイラーの選択時に、構成を完了するように求めるメッセージが表示されます。メッセージ内の「はい」をクリックすると、該当する設定ページに進みます。「いいえ」をクリックすると、JSP コンパイラーの選択項目の隣に警告リンクが表示されます (リンクを選択すると、設定ページが開きます)。
  5. ファイル・エンコード: プロジェクト内のファイルの文字エンコードは、AppScan® Source がファイルを適切に読み取る (そして、例えば、それらを「ソース」ビューに正しく表示する) ことができるように設定する必要があります。デフォルトのファイル・エンコードは、AppScan® Source 設定ページで設定できます。
  6. プリスキャン・コンパイル最適化:
    • プリコンパイル済みクラス: スキャン中にコンパイルするのではなく、プリコンパイル済みの Java または JSP クラス・ファイルを使用します。このオプションを選択すると、ソース・ステージ・オプションが無効になります。
    • コンパイル・エラーの影響を最小化するためにソース・ファイルをステージする: AppScan® Source がステージング・ディレクトリーにソースをコピーするかどうかを制御します。

      「ディレクトリーと一致しないパッケージの修正」を選択すると、Java コンパイラーは各ソース・ファイルを開くことが必要になります。

      「各スキャン間のステージング領域のクリーンアップ」は、スキャンの前にコードの最新バージョンをコンパイルするようにします。これにより、結果の正確性を向上できます。ただし、このオプションを選択するとパフォーマンスが低下する可能性があります。