メインコンテンツにジャンプ
HCL Logo Product Documentation
Customer Support Community
Customer Support HCLSoftware U Community Forums Customer Idea Portal
HCL AppScan Source
  1. Home icon
  2. Welcome
  3. プロダクト機能の拡張

    特定の開発要件を満たすために製品を拡張する方法について説明します。

  4. HCL®AppScan® Source for Development (Eclipse Plug-in)

    AppScan® Source for Development を使用すると、既存の開発環境で作業を行いながら、Java プロジェクトのセキュリティーの脆弱性を分析できます。セキュリティー分析は、ソース・コードの脆弱性を特定し、AppScan Source Security Knowledgebaseの修復支援機能を使用して脆弱性を完全に解消するのに役立ちます。

  5. 検出結果の変更

    変更された検出結果とは、脆弱性タイプ、分類、または重大度が変更された検出結果、あるいは注釈が付けられた検出結果です。「変更された検出結果」ビューには、現在のアプリケーション (アプリケーションの評価を開いた結果、アクティブになっているアプリケーション) について、これらの検出結果が表示されます。「自分の評価」ビュー ( AppScan® Source for Analysisでのみ使用可能) では、「変更済み」列に、検出結果が現在の評価で変更されたかどうかが示されます。

  6. 検出結果表からの変更の実行

    複数のファイルに同じ変更を加える場合は、検出結果表から検出結果を変更できます。個々の検出結果を変更する場合は、検出結果表または「検出結果の詳細」ビューを使用します。

Product logo

  • ようこそ

    HCL® AppScan® Source の文書へようこそ。

  • 新機能

    AppScan® Source に追加された新機能について調べ、このリリースで廃止された機能をメモします。

  • インストール

    HCL® AppScan® Source のインストール、アップグレード、およびアクティブ化の方法について説明します。

  • 構成

    HCL® AppScan® Source でアプリケーション、フォルダー、プロジェクトを構成し、属性とプロパティーを設定する方法について説明します。

  • の管理

    HCL® AppScan® Source での、ユーザー・アカウントと許可の管理、ユーザー・アクティビティーの監査、および統合の管理の方法について説明します。

  • スキャン

    このセクションでは、HCL® AppScan® Source におけるソース・コードのスキャン方法および評価の管理方法について説明します。

  • トリアージおよび分析

    類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® Source 評価のトリアージを行い、結果を分析する方法について説明します。

  • レポート作成

    セキュリティー・アナリストおよびリスク・マネージャーは、選択された検出結果のレポート、またはソフトウェア・セキュリティーのベスト・プラクティスおよび法的要件へのコンプライアンスを測定するための一連の監査レポートにアクセスできます。このセクションでは、集約された検出結果データのレポートを作成する方法について説明します。

  • プロダクト機能の拡張

    特定の開発要件を満たすために製品を拡張する方法について説明します。

    • 脆弱性データベースとパターン・ルールのカスタマイズ

      このセクションでは、脆弱性データベースをカスタマイズし、カスタマイズした脆弱性やその他のルーチンをスキャンに組み込む方法について説明します。

    • アプリケーション・サーバーのインポート・フレームワークの拡張

      AppScan® Source では、Apache Tomcat および WebSphere® Application Server Liberty プロファイルから Java™ アプリケーションをインポートできます。このトピックで説明するように、アプリケーション・サーバーのインポート・フレームワークを拡張することにより、他のアプリケーションから Java アプリケーションをインポートできます。

    • HCL®AppScan® Source for Development (Eclipse Plug-in)

      AppScan® Source for Development を使用すると、既存の開発環境で作業を行いながら、Java プロジェクトのセキュリティーの脆弱性を分析できます。セキュリティー分析は、ソース・コードの脆弱性を特定し、AppScan Source Security Knowledgebaseの修復支援機能を使用して脆弱性を完全に解消するのに役立ちます。

      • 用語集
      • AppScan® Source for Development のserver modeおよびlocal mode

        AppScan® Source for Development プラグインは、AppScan Enterprise Serverの有無にかかわらず使用できます。server modeでは、スキャンを実行したり、共有データにアクセスしたりするために、サーバーに接続します。local modeでは、AppScan Source for Development は AppScan Enterprise Server に接続せずに実行されるため、ユーザーはフィルター、スキャン構成、およびカスタム・ルールなどの共用項目にアクセスできません。

      • 変数の作成

        AppScan® Source for Analysis で以前に作成された、パス変数に依存している評価またはバンドルを開くには、一致する変数を開発環境で作成する必要があります。変数を作成すると、複数のコンピューターでデータを使用できるようになります。評価データを共有するには、適切な変数を定義する必要があります。

      • スキャンの構成

        スキャン対象のプロジェクトのタイプや実行するスキャンのタイプによっては、実行前にスキャンを構成することが必要な場合があります。例えば、デフォルトで設定されたコンパイラー以外の JDK コンパイラーまたは JSP コンパイラーを使用するようにプロジェクトを構成できます。

      • 全般設定

        全般設定では、ユーザーの好みに合わせて、AppScan® Source for Development のデフォルト設定の一部を調整できます。

      • 一般設定

        全般設定では、ユーザーの好みに合わせて、AppScan® Source for Development のデフォルト設定の一部を調整できます。

      • ワークスペース、プロジェクト、およびファイルのスキャン

        Eclipse のワークスペース、プロジェクト、ファイルをスキャンすることができます。これには、Java™ (Android を含む) および JavaServer Pages (JSP) プロジェクトのスキャンが含まれます。

      • 評価のオープンおよび保存

        AppScan® Source は、ソース・コードをスキャンして脆弱性を検出し、検出結果を生成します。検出結果とは、スキャンによって検出された脆弱性のことです。スキャンの結果は、評価 と呼ばれます。保存済みの評価は、AppScan Source for Development または AppScan Source for Analysis から開くことができます。スキャンの終了後、この評価をファイルに保存できます。その後、この評価をいつでも開くことができます。評価は filename.ozasmt として保存されます。

      • 検出結果表のカスタマイズ

        検出結果を含むすべてのビュー (AppScan® Source for Analysis の「差分評価」ビューを除く) で、表示したい列と列順序のみを指定することで、検出結果表をカスタマイズできます。各ビューで異なる設定を使用できますが、オプションをすべてのビューに適用することもできます。列順序をカスタマイズするには、このタスク・トピックの手順に従ってください。

      • 評価への選択した検出結果の保存

      • 検出結果の検索

        検出結果を含む複数のビューで、特定の検出結果を検索できます。検索基準には、バンドル、コード、ファイル、プロジェクト、または脆弱性タイプが含まれます。検出結果が「検索結果」ビューに表示されます。

      • 検出結果の変更

        変更された検出結果とは、脆弱性タイプ、分類、または重大度が変更された検出結果、あるいは注釈が付けられた検出結果です。「変更された検出結果」ビューには、現在のアプリケーション (アプリケーションの評価を開いた結果、アクティブになっているアプリケーション) について、これらの検出結果が表示されます。「自分の評価」ビュー ( AppScan® Source for Analysisでのみ使用可能) では、「変更済み」列に、検出結果が現在の評価で変更されたかどうかが示されます。

        • 検出結果表からの変更の実行

          複数のファイルに同じ変更を加える場合は、検出結果表から検出結果を変更できます。個々の検出結果を変更する場合は、検出結果表または「検出結果の詳細」ビューを使用します。

          • 脆弱性タイプの変更

            脆弱性タイプは、個別の検出結果に対して変更することも、検出結果のグループに対して変更することもできます。

          • 検出結果の分類の昇格

            要確認セキュリティー検出結果またはスキャン範囲検出結果に分類された検出結果は、確定の検出結果に昇格できます。

          • 重大度の変更

            新しい重大度レベルを選択すると、選択した各検出結果の重大度が変わります。例えば、AppScan® Source が、ある API の重大度が中であると報告していても、会社のポリシーでは、より重大度が高いと見なされる場合があります。要件に合わせて、重大度の変更が可能です。ただし、AppScan Source「修復支援」では、この変更は含まれていないことに注意してください。

          • 検出結果への注釈付け

            Notes® 検出結果に対してさらにアクションを実行したり、他のユーザーに検出結果に関する情報を伝達したりするための注意を喚起するために使用できます。注釈は単一の検出結果または検出結果のグループに追加できます。

        • 「検出結果の詳細」ビューでの検出結果の変更

        • 検出結果の変更の取り消し

          検出結果を変更した場合は、このトピックで説明している方法で、その変更を取り消す (元の値に戻す) ことができます。

      • セキュリティー問題の解決と修復支援の表示

        AppScan® Source は、セキュリティー・エラーまたは一般的な設計上の障害について警告し、解決のプロセスを支援します。AppScan Source Security Knowledgebaseや、内部または外部のコード・エディターが、このプロセスで役立ちます。

      • 除外を使用したトリアージ

        スキャン後に、一部の検出結果が現在の作業に関係ないと判断した場合、スキャン結果のトリアージを行う際にその検出結果を検出結果表に表示しないようにします。これらの除外 (または除外された検出結果) は、「検出結果」ビューに表示されなくなり、評価メトリックは、変更された結果によって直ちに更新されます。構成に追加されたフィルターおよびバンドルの除外は、後続のスキャンに対してのみ実施されます。

      • フィルターの作成および管理

        AppScan® Source には、フィルターを作成および使用するための方法が複数用意されています。フィルター作成用のメイン・ビューである「フィルター・エディター」ビューには一連の堅固なルールが備えられ、これらを手動で設定し、フィルターに保存できます。「フィルター・エディター」ビューには、作成済みのフィルターを管理する仕組みも用意されています。これにより、フィルターを簡単に変更または削除できます。また、検出結果をグラフィカルに表現するビューを使用して検出結果表をフィルタリングし、それらのフィルターを「フィルター・エディター」ビューで保存することもできます。フィルターを作成すると、他のビューもフィルター・プロパティーを反映するように更新されます。

      • サポートされる注釈と属性

        コードの装飾に使用される一部の注釈および属性は、スキャン中に処理されます。スキャン中に、サポートされる注釈または属性がコード内で検出されると、装飾されたメソッドに、汚染されたコールバックとしてマークを付けるために、その情報が使用されます。汚染されたコールバックとしてマークされたメソッドは、すべての引数に汚染されたデータがあるものとして扱われます。その結果、トレースでより多くの検出結果が得られます。このヘルプ・トピックでは、サポートされる注釈および属性のリストを示します。

      • バンドルの操作

        バンドル (検出結果をグループ化するメカニズム) を使用すると、AppScan® Source for Analysis から AppScan Source for Development に、検出結果のスナップショットをインポートすることができます。検出結果をバンドルにすると、AppScan Source for Development を使用して、バンドルが含まれたプロジェクトを開いたり、バンドルをインポートしたり、保存されたバンドル・ファイル (file_name.ozbdl) を開いたりできます。

      • AppScan® Source トレース

        AppScan® Source トレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。

      • ビューとウィンドウ

        AppScan® Source for Development の各ビューおよびウィンドウは、検出結果を別の様式で表現します。これらのビューおよびウィンドウでは、コード編集がサポートされており、ワークベンチ内の情報をナビゲートすることができます。ビューは単独で表示される場合も、タブ付きのノートブック形式で他のビューと重なって表示される場合もあります。ビューを開いたり閉じたりすることによって、またビューを「ワークベンチ」ウィンドウ内のさまざまな位置に配置することによって、パースペクティブのレイアウトやウィンドウのレイアウトを変更できます。

      • インストールとユーザー・データ・ファイルの場所

        AppScan® Source をインストールすると、ユーザー・データ・ファイルおよび構成ファイルは、インストール・ディレクトリー以外の場所に保管されます。

      • CWE サポート

        共通脆弱性タイプ一覧 (CWE: Common Weakness Enumeration) は、公的に認識されているソフトウェアの脆弱性に関する一般名を提供する業界標準のリストです。このトピックでは、AppScan® Source の現行バージョンでサポート対象の CWE ID を示します。

      • Intelligent Findings Analytics (IFA)

        検出結果の自動トリアージと分析の詳細は、AppScan® Source を参照してください。

  • 参照

    HCL® AppScan® Source の参照情報 (ユーティリティー、プラグイン、および API の使用を含む) を確認します。

  • トラブルシューティングおよびサポート

    HCL® AppScan® Source を使用している間の問題のトラブルシューティングに役立つセルフヘルプ情報、リソース、およびツール。

 Feedback

検出結果表からの変更の実行

複数のファイルに同じ変更を加える場合は、検出結果表から検出結果を変更できます。個々の検出結果を変更する場合は、検出結果表または「検出結果の詳細」ビューを使用します。

  • 脆弱性タイプの変更
  • 検出結果の分類の昇格
  • 重大度の変更
  • サポートされる注釈と属性
  • 脆弱性タイプの変更
    脆弱性タイプは、個別の検出結果に対して変更することも、検出結果のグループに対して変更することもできます。
  • 検出結果の分類の昇格
    要確認セキュリティー検出結果またはスキャン範囲検出結果に分類された検出結果は、確定の検出結果に昇格できます。
  • 重大度の変更
    新しい重大度レベルを選択すると、選択した各検出結果の重大度が変わります。例えば、AppScan® Source が、ある API の重大度が中であると報告していても、会社のポリシーでは、より重大度が高いと見なされる場合があります。要件に合わせて、重大度の変更が可能です。ただし、AppScan® Source「修復支援」では、この変更は含まれていないことに注意してください。
  • 検出結果への注釈付け
    Notes® 検出結果に対してさらにアクションを実行したり、他のユーザーに検出結果に関する情報を伝達したりするための注意を喚起するために使用できます。注釈は単一の検出結果または検出結果のグループに追加できます。
  • Share: Email
  • Twitter
  • Disclaimer
  • Privacy
  • Terms of use
  • Cookie Preferences