セキュリティー問題の解決と修復支援の表示

AppScan® Source は、セキュリティー・エラーまたは一般的な設計上の障害について警告し、解決のプロセスを支援します。AppScan® Source Security Knowledgebaseや、内部または外部のコード・エディターが、このプロセスで役立ちます。

このタスクについて

AppScan® Source Security Knowledgebase は、検出結果を修正する方法を提示します。それぞれの脆弱性についてのこのコンテキスト内情報によって、根本原因とリスクの重大度についての正確な説明、および実施可能な修復のアドバイスが提供されます。例えば strcpy() (バッファー・オーバーフロー・タイプ) について、重大度が高いものとして説明し、以下のような修復を支援する情報を提供します。

strcpy では、出力先バッファーでのオーバーフローが起こりやすくなります。出力先バッファーの長さがわからないため、出力先バッファーを上書きしてしまわないように確認する作業を実行できないためです。長さパラメーターを取る strncpy の使用を検討してください。strncpy もセキュリティー上のリスクになりますが、程度はかなり低くなります。

AppScan® Source Security Knowledgebaseを参照するには、以下のようにします。

手順

  • AppScan® Source for Analysis で「修正方法」ビューを開き、検索結果の表の中から 1 つを選択します。その特定の検出結果の修復支援が表示されます。または、メイン・メニュー・バーから「ヘルプ」 > 「セキュリティー・ナレッジ・データベース」を選択して、ブラウザーで AppScan® Source Security Knowledgebase 全体を開きます。
  • AppScan® Source for Development (Eclipse plug-in) で「修正方法」ビューを開き、検索結果の表の中から 1 つを選択します。その特定の検出結果の修復支援が表示されます。
  • AppScan® Source for Development (Visual Studio plug-in) で、検出結果表内の 1 つの検出結果を選択します。メイン・メニュー・バーから「AppScan Source」 > 「ナレッジ・データベース・ヘルプ (Knowledgebase Help)」を選択するか、検出結果を右クリックし、メニューから「ナレッジ・データベース・ヘルプ (Knowledgebase Help)」を選択します。これにより、選択した検出結果に対する修復支援が開きます。