AppScan® Source トレース

AppScan® Source トレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。

AppScan® Source は、複数のモジュールおよび言語にまたがって、アプリケーション全体のデータの流れをトレースします。これは、潜在的に危険なデータの経路を呼び出しグラフに表示し、アプリケーションのどの部分が脆弱になりやすいかを示します。

トレースによって、アプリケーション内で欠落している承認された入力検証ルーチンとエンコード・ルーチンが特定されるため、SQL 注入やクロスサイト・スクリプティングなどの入力検証攻撃の防止に役立ちます。呼び出しグラフ全体を対話形式でトレースし、「トレース」ビューで直接ソースをクリックして、開発環境または任意のコード・エディターでソースを表示します。また、トレースによってポリシーの適用も可能になります。これにより、正しい入力データの検証とエンコードに必要な承認済みのルーチン、汚染伝播元、シンクとソースを特定して、次回からのスキャンに組み込むことができます。

スキャンの結果としてトレースが生成されると、「トレース」ビューから特定の検出結果に対応する入力検証ルーチンと入力エンコード・ルーチン、脆弱性、シンク、ソース、または汚染伝播元を作成できます。例えば、AppScan® Source for Analysis の任意のルーチンに検証ルーチンのマークを付けて AppScan® Source Security Knowledgebase に追加すると、このルーチンが呼び出されるデータ・パスの Validation.Required または Validation.Encoding.Required の検出結果は、次回からのスキャンでは報告されなくなります。「トレース」ビューでは、脆弱性をソースまたはシンク (あるいはその両方) として定義することも、メソッドを汚染伝播元、汚染されたコールバック、または汚染の可能性がないメソッドのいずれかとして識別することもできます。