「トレース」ビュー
AppScan® ソース は、入出力の分析を実行し、それらの脆弱性を特定して表示します。AppScan® ソース トレース・グラフを含む行を示すアイコンが、検出結果リストに表示されます。
「トレース」ビューには、ルート・ノードが表示されます。ここで入力スタックと出力スタックが一緒になります。入力スタックは、汚染されたデータを提供することが分かっているソース につながる一連の呼び出しです。出力スタックは、シンク につながる一連の呼び出しです。AppScan® ソース トレースは、分析されたコードが、保護されていないシンクへの保護されていないソースの使用を追跡できる場合に生成されます。
- ソース: ソースはプログラムへの入力で、ファイル、サーブレット要求、コンソール入力、ソケットなどがあります。ほとんどの入力ソースでは、返されるデータの内容や長さが制限されません。チェックされていない入力については、汚染されているものと見なされます。ソースは、すべての検出結果表の「ソース」列に表示されます。
- シンク: シンクは、データの書き込み先になる、あらゆる外部フォーマットです。シンクの例としては、データベース、ファイル、コンソール出力、ソケットなどがあります。データをチェックせずにシンクに書き込むと、重大なセキュリティー脆弱性となる可能性があります。
- 逸失シンク: 逸失シンクとは、トレースできなくなった API メソッドのことです。
この図は、入力スタックおよび出力スタックを通じたルートからの呼び出しシーケンスを示しています。
図では以下のようになっています。
- 塗りつぶしなしの矢印は、既知の汚染されたデータ・フローを含まない呼び出しを示します。
- 塗りつぶされた矢印は、汚染されている可能性のあるデータを含みます。破線は戻りパスを示します。
- Solid® 線はメソッド呼び出しを表します。
ヒント:
- 「トレース」ビューで、グラフ内のトレース・ノードの上にマウスを移動すると、そのノードに関する情報が表示されます。
- ビュー内の 2 つの左パネル (入力/出力スタック・パネルとデータ・フロー・パネル) は、省略表示することによって、グラフィック呼び出しグラフが見やすくなります。これらのパネルを省略表示するには、「ツリー・ビューの非表示」矢印ボタンを選択してください。非表示になったこれらのパネルを表示するには、「ツリー・ビューの表示」矢印ボタンを選択します。
- スクロール・バーを動かして、詳細にズームインして集中するか、ズームアウトして表示数を増やします。ズーム・スクロール・バーの上にマウス・カーソルを移動すると、現在のズーム・レベルが表示されます。最大レベルまでズームインするには、「ズーム率 200%」をクリックします。可能な限りズームアウトするには、「適合ズーム」をクリックします。