「修正方法」ビュー

AppScan® Source Security Knowledgebaseでは、それぞれの脆弱性について、コンテキスト固有の情報が提供されます。Knowledgebase によって、脆弱性の内容、安全ではない理由、解決方法、および今後回避する方法を知ることができます。ソース・コードをスキャンすると、Knowledgebase はミッション・クリティカルなアプリケーションからリスクを排除するために必要な固有情報を提供します。「修正方法」ビューには、Knowledgebase の修復のアドバイスが表示されます。スキャンすると、Knowledgebase はミッション・クリティカルなアプリケーションからリスクを排除するために必要な固有情報を提供します。

Knowledgebase を表示して修復のアドバイスを得るには

  • 検出結果表内の 1 つの検出結果を選択し、Knowledgebase のヘルプか「修正方法」ビューを開きます。
  • AppScan® Source for Analysis では、メニューから「ヘルプ」 > 「セキュリティー」Knowledgebaseを選択して、Knowledgebase 全体を表示することもできます。

データベース内の特定の API は、重大度レベルおよび重大度タイプをリストします。例えば、strcpy() という API (バッファー・オーバーフロー・タイプ) は、重大度レベルが「高」です。strcpy() では、出力先バッファーの長さを認識しないため、出力先バッファーが上書きされないようにするためのチェックを実行できないことから、出力先バッファーでのオーバーフローが起こりやすくなると説明されています。長さのパラメーターをとる strncpy () を使用して、この問題を解決してください。

検出結果に、関連する共通脆弱性タイプ一覧 (CWE) ID がある場合、「修正方法」ビューから、http://cwe.mitre.org/data/definitions/<CWE_ID>.html にある CWE のトピック (CWE: <id>) へのハイパーリンクが表示されます。