セキュリティー問題の解決と修復支援の表示
AppScan® ソース は、セキュリティー・エラーまたは一般的な設計上の障害について警告し、解決のプロセスを支援します。AppScan® ソース・セキュリティー・ナレッジベース・データベースや、内部または外部のコード・エディターが、このプロセスで役立ちます。
このタスクについて
AppScan® ソース・セキュリティー・ナレッジベース・データベース は、検出結果を修正する方法を提示します。それぞれの脆弱性についてのこのコンテキスト内情報によって、根本原因とリスクの重大度についての正確な説明、および実施可能な修復のアドバイスが提供されます。例えば strcpy()
(バッファー・オーバーフロー・タイプ) について、重大度が高いものとして説明し、以下のような修復を支援する情報を提供します。
strcpy
では、出力先バッファーでのオーバーフローが起こりやすくなります。出力先バッファーの長さがわからないため、出力先バッファーを上書きしてしまわないように確認する作業を実行できないためです。長さパラメーターを取るstrncpy
の使用を検討してください。strncpy
もセキュリティー上のリスクになりますが、程度はかなり低くなります。
AppScan® ソース・セキュリティー・ナレッジベース・データベースを参照するには、以下のようにします。
手順
- AppScan® Source for Analysis で「修正方法」ビューを開き、検索結果の表の中から 1 つを選択します。その特定の検出結果の修復支援が表示されます。または、メイン・メニュー・バーから を選択して、ブラウザーで AppScan® ソース・セキュリティー・ナレッジベース・データベース 全体を開きます。
- AppScan® Source for Development (Eclipse プラグイン) で「修正方法」ビューを開き、検索結果の表の中から 1 つを選択します。その特定の検出結果の修復支援が表示されます。
- AppScan® Source for Development (Visual Studio プラグイン) で、検出結果表内の 1 つの検出結果を選択します。メイン・メニュー・バーから を選択するか、検出結果を右クリックし、メニューから「ナレッジ・データベース・ヘルプ (Knowledgebase Help)」を選択します。これにより、選択した検出結果に対する修復支援が開きます。