検出結果の表示

「検出結果」ビュー、または検出結果が含まれるすべてのビューで、スキャンごとに、「検出結果ツリー」(評価基準の階層グループ) と検出結果表が表示されます。検出結果ツリーで選択されている項目により、表に表示される検出結果が決まります。

ツリーのルートを選択すると、表内にすべての検出結果が表示されます。グループ化のタイプを選択すると、そのタイプの検出結果のみが表示されます。

「検出結果」ビュー

AppScan® Source for Analysis には、以下に示すようなさまざまなグループ分けによって検出結果が表示されます。

  • 修正グループ (デフォルト)

    検出結果ツリーの修正グループは、階層内に次のようにリストされています。脆弱性グループとタイプ > ソース > 重大度。

  • 脆弱性タイプ
  • Classification
  • ファイル
  • ソース
  • シンク
  • API
  • Bundle
  • CWE
  • Table (表)
注: デフォルトでは、分類および重大度は降順でソートされます。その他すべての列は、昇順でソートされます。

検出結果表には、以下の列が表示されます。

1. 検出結果表
列見出し 説明
Trace この列のアイコンは、逸失シンクまたは既知のシンクに対してトレースが存在することを示します。
重大度
  • : データの機密性、保全性、または可用性、および処理リソースの保全性または可用性 (あるいはそのいずれか) にリスクをもたらします。重大度の高い状態は、即時修復に優先順位付けする必要があります。
  • : データ・セキュリティーおよびリソース保全性にリスクをもたらしますが、攻撃の影響を受ける可能性は低い状態です。重大度が中の状態は、可能な場合、確認して修復する必要があります。
  • : データ・セキュリティーまたはリソース保全性にリスクはほとんどありません。
  • 情報: 検出結果自体には、セキュリティー侵害の可能性はありません。これは、コードで使用されているテクノロジー、アーキテクチャー特性、またはセキュリティー・メカニズムについて説明するものです。
分類 検出結果のタイプ。「確定」または「要確認」セキュリティー検出結果、あるいは「スキャン範囲」検出結果
注: 場合によっては、「なし」の分類を使用して、セキュリティー検出結果でもスキャン範囲検出結果でもない分類が示されることがあります。
脆弱性タイプ Validation.RequiredInjection.SQL などの脆弱性カテゴリー
API 脆弱な呼出し (API とその API に渡される引数の両方を表しています)。
ソース ソースはプログラムへの入力で、ファイル、サーブレット要求、コンソール入力、ソケットなどがあります。ほとんどの入力ソースでは、返されるデータの内容や長さが制限されません。チェックされていない入力については、汚染されているものと見なされます。
シンク シンクは、データの書き込み先になる、あらゆる外部フォーマットです。シンクの例としては、データベース、ファイル、コンソール出力、ソケットなどがあります。データをチェックせずにシンクに書き込むと、重大なセキュリティー脆弱性となる可能性があります。
ディレクトリー スキャンされたファイルの絶対パス。
ファイル セキュリティー検出結果またはスキャン範囲検出結果が発生するコード・ファイルの名前。検出結果内のファイル・パスは、スキャンされたプロジェクト作業ディレクトリーに対する相対パスです。
呼び出し側メソッド 脆弱な呼び出しが行われた関数 (またはメソッド)。
脆弱な API を含むコード・ファイル内の行番号。
バンドル この検出結果を含むバンドル。
CWE コミュニティーが作成した、共通のソフトウェア脆弱性の辞書の ID およびトピック (共通脆弱性タイプ一覧 (CWE) のトピック)。
注: AppScan® ソース でソースを見つけることができない検出結果を選択すると、ソース・ファイルが見つからない場合にプロンプトを出すかどうかを尋ねるダイアログ・ボックスが提示されます。「はい」を選択すると、ソース・ファイルが見つからない検出結果を選択するたびにプロンプトが出されます。「いいえ」を選択すると、プロンプトが出されません。この設定は、現在の評価が開かれている限り維持されます。この設定は、評価を開くたび、または AppScan® ソース を終了した場合にリセットされます。