標準装備のスキャン構成
AppScan® ソース には、標準装備のスキャン構成が用意されています。これらのスキャン構成を変更または削除することはできません。リストでそれらの構成を選択すると、構成を複製したり、構成設定を表示したりできます。標準装備のスキャン構成には、サーバー・モードまたはローカル・モードでアクセスできます。
スキャン構成
スキャン構成を使用すると、スキャンの分析と出力を調整してさまざまな種類のアプリケーション、スキャン環境、およびセキュリティー・プロセスに固有のニーズを満たすことができます。アプリケーションが対話する特定のリソース、DevSecOps プロセスの特定のタイミング要件、またはセキュリティー・チームが識別した特定の脆弱性に対応するように構成されています。
スキャンの調整は、分析プロセスを制御するさまざまなパラメーターを設定することで実行されます。パラメーターは、スキャン・ルールと詳細設定にグループ化されます。AppScan® ソース の標準装備のスキャン構成は、お客様が識別した特定のケースに基づいています。
- Android
- すべての仮想呼び出しターゲットの実施
- 大規模なアプリケーション
- 検出結果の最大化
- トレースの最大化
- 中規模から大規模のアプリケーション
- 正常
- クイック
- サービス・コード
- ユーザーの入力の脆弱性
- バランスの取れた Web
- 詳しい Web
- Web プレビュー
- Web クイック
- Web
スキャン構成のグループ化
- 通常
- 汎用
- Web
- その他
スキャンされるデータの種類やその他スキャン構成のディテールによっては、時間やスペースといったリソース要件削減のために実際の大規模スキャン分析が浅くなることがあります。そのため、スキャン対象、スキャンで見込まれる検出結果の種類、構成の種類 (標準装備スキャン構成かカスタム構成か) を理解しておくことが重要です。
通常のスキャン
これはデフォルトのスキャン構成であり、パラメーターのデフォルト値を使用します。この構成は、あらゆる種類のアプリケーションに使用でき、使用時間、詳細な分析、検出結果の数をバランスよく提供します。デフォルト値は ozsettings ファイル (ipva.ozsettings、ounce.ozsettings、scan.ozsettings、またはその他) で変更できます。
汎用スキャン
- 大規模なアプリケーションのスキャン
- クイック・スキャン
- 中規模から大規模のアプリケーションのスキャン
- すべての仮想呼び出しターゲット・スキャンの実施
- トレースの最大化
- 検出結果の最大化
Web のスキャン
- Web クイック・スキャン
- Web プレビュー・スキャン
- Web のスキャン
- バランスの取れた Web のスキャン
- 詳しい Web のスキャン
その他
- サービス・コード・スキャンは、Web サービス、ライブラリー、および REST アプリケーションに適しています
- Android スキャンは、Android 環境のモバイル・アプリに適しています。
- ユーザーの入力の脆弱性のスキャンは、Web アプリケーションの外部ユーザーまたはデスクトップ・アプリケーションの内部ユーザーによって提供された入力に対応します。
スキャン・ルール
スキャン・ルールは、アプリケーションにとって潜在的な脅威となっている入力の選択を制御するパラメーターです。このルールは、開発者またはセキュリティー・チームが特に関心を寄せる入力にフォーカスを合わせるように構成される場合があります。検査する入力の数を減らすと、スキャン時間が短縮されます。スキャン・ルール | |||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
すべて | ユーザーの入力 | Web アプリケーション | エラー処理およびロギング | 環境 | 外部システム | データ・ストア | 異常な項目 | ファイル・システム | 機密データ | ||
スキャン構成 | 通常 (デフォルト) | X | |||||||||
Android | X | ||||||||||
すべての仮想呼び出しターゲットの実施 | X | ||||||||||
大規模なアプリケーション | X | X | X | ||||||||
検出結果の最大化 | X | ||||||||||
トレースの最大化 | X | ||||||||||
中規模から大規模の間 | X | ||||||||||
クイック | X | X | X | X | X | X | X | ||||
サービス・コード | X | ||||||||||
ユーザーの入力の脆弱性 | X | ||||||||||
バランスの取れた Web | X | X | X | X | X | X | |||||
詳しい Web | X | X | X | X | X | X | |||||
Web プレビュー | X | X | X | X | X | X | |||||
Web クイック | X | X | X | X | X | X | |||||
Web | X | X | X | X | X |
詳細設定
詳細設定 | ||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
コールバックの自動マークアップ | 伝播元の自動マークアップ | スキップするメッセージを表示 | カスタム・ルールをフィルタリング | 初期プルーニング・ヒューリスティック | IPVA のルートあたりの制限時間 | インライン検証なし | プロトタイプ・トレース | Set/Get 属性呼び出しの置換 | 情報レベルの検出結果の表示 | 単一の仮想呼び出し | 制限メッセージの処理の抑止 | 仮想呼び出しの自動コールバック・メッセージ | 仮想呼び出しの数 | WAFL グローバルの追跡 | ||
スキャン構成 | 通常 (デフォルト) | False | False | False | True | 7 | 50 | False | 0 (すべて) | False | False | True | True | 0 | 0 (すべて) | True |
Android | 7 | 50 | True | True | 0 | True | ||||||||||
すべての仮想呼び出しターゲットの実施 | False | 0 | ||||||||||||||
大規模なアプリケーション | 100 | 2 | 1 | True | False | |||||||||||
検出結果の最大化 | True | True | 0 | 50 | True | False | 0 | True | ||||||||
トレースの最大化 | True | True | 0 | 50 | False | 0 | True | |||||||||
中規模から大規模の間 | False | 100 | 4 | True | 1 | True | False | 5 | True | |||||||
クイック | 100 | 2 | 1 | False | True | |||||||||||
サービス・コード | True | False | 100 | 4 | True | 1 | True | False | 5 | True | ||||||
ユーザーの入力の脆弱性 | False | 100 | 4 | True | 1 | False | 5 | |||||||||
バランスの取れた Web | ||||||||||||||||
詳しい Web | True | True | 9 | 50 | True | False | 0 | True | ||||||||
Web プレビュー | 100 | 2 | 1 | True | False | |||||||||||
Web クイック | 100 | 2 | 1 | True | False | |||||||||||
Web | 7 | 50 | 0 | True | True | 0 | True |