HCL®AppScan® ソース の参照情報 (ユーティリティー、プラグイン、および API の使用を含む) を確認します。
データ・アクセス API は、AppScan® ソース によって生成された評価結果へのアクセスを提供します。この評価結果には、検出結果、検出結果の詳細が含まれます。また、分析日時、コード行、V-density、検出結果の数などの評価の測定基準へのアクセスも提供します。
Call
com.ouncelabs.sdk.assessment.Callクラスは、AppScan® ソース・トレースでノードを表します。
com.ouncelabs.sdk.assessment.Call
Call.getMethodName
HCL®AppScan® ソース の文書へようこそ。
以下の、AppScan® ソース に追加された新機能と、このリリースで非推奨になった機能についての注意について説明します。
HCL®AppScan® ソース のインストール、アップグレード、およびアクティブ化の方法について説明します。
HCL®AppScan® ソース での、アプリケーションとプロジェクトの構成、および属性とプロパティーの設定の方法について説明します。
HCL®AppScan® ソース での、ユーザー・アカウントと許可の管理、ユーザー・アクティビティーの監査、および統合の管理の方法について説明します。
このセクションでは、HCL®AppScan® ソース でのソース・コードのスキャン方法および評価の管理方法について説明します。
類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® ソース 評価のトリアージを行い、結果を分析する方法について説明します。
セキュリティー・アナリストおよびリスク・マネージャーは、選択された検出結果のレポート、またはソフトウェア・セキュリティーのベスト・プラクティスおよび法的要件へのコンプライアンスを測定するための一連の監査レポートにアクセスできます。このセクションでは、集約された検出結果データのレポートを作成する方法について説明します。
特定の開発要件を満たすために製品を拡張する方法について説明します。
Ounce/Make は、makefile を使用するビルド環境から AppScan® ソース への構成情報のインポートを自動化するツールです。Ounce/Make を使用すると、makefiles から構成情報を手動でインポートする必要がなくなるため、プロジェクトを構成する際にはこの方法をお勧めします。
makefile
makefiles
CLI は、中核の AppScan® ソース 機能とのインターフェースです。
このセクションでは、AppScan® ソース と Apache Ant を統合する AppScan ソース ビルド・ユーティリティーである、Ounce/Ant の使用方法について説明します。使用する Ant 環境に Ounce/Ant を統合すると、ビルドの自動化と評価のコード化に役立ちます。
複数のデータ・アクセス API シナリオの完全な例は、<install_dir>\sdk\sample\com\ouncelabs\sdk\sample(<install_dir> は AppScan® ソース インストールの場所です) に含まれている SamplePublished.java ファイルと SampleSdk.java ファイルにあります。
AssessedFile
com.ouncelabs.sdk.assessment.AssessedFile クラスは、個別のファイルの評価を表します。このクラスは、ファイルの評価データ (検出結果や統計など) へのアクセスを提供します。
com.ouncelabs.sdk.assessment.AssessedFile
Assessment
com.ouncelabs.sdk.assessment.Assessment クラスは、アプリケーションまたはプロジェクトの評価を表します。
com.ouncelabs.sdk.assessment.Assessment
AssessmentDiff
com.ouncelabs.sdk.assessment.AssessmentDiff クラスは、2 つの評価間の相違を保持し、この 2 つの評価間のデルタを提供します。
com.ouncelabs.sdk.assessment.AssessmentDiff
AssessmentFilter
公開された評価を取得する場合のフィルター処理基準を指定するには、com.ouncelabs.sdk.assessment.AssessmentFilter クラスを使用します。
com.ouncelabs.sdk.assessment.AssessmentFilter
AssessmentResults
com.ouncelabs.sdk.assessment.AssessmentResults クラスは、評価全体を表します。
com.ouncelabs.sdk.assessment.AssessmentResults
Call.getCalls
Call.getFilename
Call.getLineNumber
Call.getColumnNumber
Call.getSignature
Call.getSrcContext
Call.getClassName
Call.getTraceType
ClassificationType
com.ouncelabs.sdk.assessment.ClassificationType クラスは、検出結果の種別を表します。
com.ouncelabs.sdk.assessment.ClassificationType
DateProximityUnit
com.ouncelabs.sdk.assessment.DateProximityUnit を dateProximityDuration とペアにした場合は、数える基準にする単位 (日、週など)。dateProximityDuration を指定した場合は必須です。有効な単位については、このセクションで説明します。
com.ouncelabs.sdk.assessment.DateProximityUnit
dateProximityDuration
Factory
com.ouncelabs.sdk.Factory は、初期化、ログイン、および評価のオープンを行うためのメソッドを提供します。このクラスは、データ・アクセス API へのエントリー・ポイントです。
com.ouncelabs.sdk.Factory
Finding
com.ouncelabs.sdk.assessment.Finding クラスは、評価内の個別の検出結果を表します。このクラスは、検出結果に関連付けられているすべてのデータ (種別や重大度など) へのアクセスを提供します。
com.ouncelabs.sdk.assessment.Finding
このセクションでは、Ounce/Maven プラグインについて説明します。このプラグインは、Apache ビルド・ツールである Maven を使用して、AppScan® ソース を Maven のワークフローに統合します。
Automation Server (ounceautod) では、ソフトウェア開発のライフサイクル (SDLC) 全体で AppScan® ソース ワークフローの重要な部分を自動化し、セキュリティーとビルド環境を統合できます。Automation Server では、スキャンして評価を公開する要求をキューに入れて、アプリケーション・コードのセキュリティーに関するレポートを生成できます。
ounceautod
AppScan® ソース には、アプリケーションで使用されているフレームワークに対するサポートを追加するための Java™ API のセットが用意されています。それらの API で提供されるクラスやメソッドを使用することで、組み込みのサポートが提供されていないフレームワークを考慮できます。
AppScan® Source for Analysis には、サンプル・アプリケーション サンプル・アプリケーションが含まれており、これを使用して製品に慣れることができます。
AppScan® ソース を最大限に活用するには、AppScan Source for Analysis の作業環境の基本概念と、現在のワークフローに最適なオプションの使用方法について理解する必要があります。
AppScan® Source for Development の各ビューおよびウィンドウは、検出結果を別の様式で表現します。これらのビューおよびウィンドウでは、コード編集がサポートされており、ワークベンチ内の情報をナビゲートすることができます。ビューは単独で表示される場合も、タブ付きのノートブック形式で他のビューと重なって表示される場合もあります。ビューを開いたり閉じたりすることによって、またビューを「ワークベンチ」ウィンドウ内のさまざまな位置に配置することによって、パースペクティブのレイアウトやウィンドウのレイアウトを変更できます。
共通脆弱性タイプ一覧 (CWE: Common Weakness Enumeration) は、公的に認識されているソフトウェアの脆弱性に関する一般名を提供する業界標準のリストです。このトピックでは、AppScan® ソース の現行バージョンでサポート対象の CWE ID を示します。
一般的な製品の用語について説明します。
HCL®AppScan® ソース の使用中に発生する問題のトラブルシューティングに役立つ、セルフ・ヘルプ情報、リソース、およびツール。
public String getMethodName()
呼び出されたメソッド名へのアクセスを提供します。
この呼び出しのメソッド名。