AppScan® ソース・トレース によるカスタム・ルールの作成
カスタム・ルールは「トレース」ビューから作成できます。カスタム・ルールにより、汚染伝播元のトレース、汚染の可能性のないトレース、またはシンクであるトレースを持つ検出結果をフィルター除外できますまた、トレース内のメソッドに検証/エンコード・ルーチンとしてのマークを付ける (または、それらが検証/エンコード・ルーチンでないことを示す) こともできます。
このタスクについて
サンプルのソース・コードと出力内容や、検証ルーチンとエンコード・ルーチンの作成手順については、例 2: 「トレース」ビューでの検証ルーチンとエンコード・ルーチンの作成を参照してください。
選択されたメソッド | 有効なマーキング |
---|---|
中間ノード |
|
逸失シンク |
|
手順
- 「トレース」ビューで、カスタム・ルールを作成する対象のメソッドまたはノードを右クリックして、作成するカスタム・ルールを選択します。あるいは、メソッドまたはノードを選択してから、該当のカスタム・ルール・ツールバー・ボタンをクリックします。ルーチンとメソッドのマーキング・オプションは、以下のとおりです。
オプション 説明 検証/エンコード・ルーチンとしてマークする 検証/エンコード・ルーチンなしとしてマークする 汚染伝播元としてマークする 汚染の可能性なしとしてマークする シンクとしてマークする 注: 「トレース」ビューで、カスタム・ルールを作成する対象のメソッドの項目がない場合は、「カスタム・ルール・ウィザードを起動し、トレース・グラフにない検証ルーチンを追加します」をクリックします。カスタム・ルール・ウィザードで、「検証/エンコード・ルーチンの選択 (Select Validation/Encoding Routine)」ページに進みます。検証ルーチンを選択してから、次のステップの手順に従って、位置、有効範囲、ソースまたはシンク、またはプロパティーを指定します。このウィザードを使用して検証ルーチンを作成する方法について詳しくは、例 2: カスタム・ルール・ウィザードでの検証ルーチンとエンコード・ルーチンの作成を参照してください。 - メソッドをシンクまたは検証/エンコード・ルーチンとしてマークするカスタム・ルールを作成している場合、詳細な設定が必要になる場合があります。
- 「トレース」ビューでカスタム・ルールを作成した後で、コードを再度スキャンして、検出結果リストおよびトレースでルールが反映されていることを確認する必要があります。「トレース」ビューで作成したカスタム・ルールは、「カスタム・ルール」ビューで表示または削除することができます。「カスタム・ルール」ビューでルールの詳細を表示するには、ルールを選択して、「カスタム・ルール情報 」をクリックします。