「スキャン構成」ビュー
「スキャン構成」ビューを使用すると、スキャンの起動時に使用できる構成を作成できます。このビューを使用して、デフォルトのスキャン構成を設定することもできます。スキャン構成では、スキャン時に使用するソース・ルールを指定し、多数のスキャン設定を組み込むことができます。スキャン構成で設定を行うと、良好なスキャン結果が得られることが多く、また、これらの設定を保存することができるため、スキャンを容易に、しかも短時間で行うことができます。
「スキャン構成」ビューには、以下の主要なセクションがあります。
スキャン構成の管理
このセクションを使用して、スキャン構成の選択、追加、削除、保存、共有を行います。また、スキャン構成をデフォルトとして設定することもできます。
- 新規スキャン構成を作成するには、「新規」をクリックします。スキャン構成の設定が完了したら、「保存」をクリックして変更内容を保存します。スキャン構成をデフォルトとして設定するには、保存後に「デフォルトとして選択」をクリックします。デフォルトのスキャン構成がどのように使用されるかについては、ワークスペース、プロジェクト、およびファイルのスキャンを参照してください。
- 既存のスキャン構成を処理するには、リストから目的のスキャン構成を選択して、以下の操作を行います。
- スキャン構成の設定を変更する場合は、「保存」をクリックして変更内容を保存します (不要な変更内容は、別のスキャン構成に切り替えてから「破棄」をクリックすると、破棄することができます)。
- 選択したスキャン構成を削除するには、「削除」をクリックします。
- スキャン構成を複写するには、「複写」をクリックします。これにより、元のスキャン構成の設定に基づいて新しいスキャン構成が作成されます。
- スキャン構成をデフォルトとして設定するには、「デフォルトとして選択」をクリックします。デフォルトのスキャン構成がどのように使用されるかについては、ワークスペース、プロジェクト、およびファイルのスキャンを参照してください。
- スキャン構成を他のユーザーと共有するには、「共有」をクリックします。スキャン構成が AppScan® Enterprise に保存されます。AppScan® Enterprise からフィルターを再ロードするには、「更新」をクリックします。
注: AppScan® Source には、標準装備のスキャン構成が用意されています。これらのスキャン構成を変更または削除することはできません。リストでそれらを選択すると、それらを複製したり、それらの設定を表示したりできます。
「全般」タブ
このセクションでは、スキャン構成に名前を付けて、そのスキャン構成に関する説明を入力できます。
このセクションでは、スキャン構成を使用すると必ずスキャンに適用されるフィルターを 1 つ以上選択できます。フィルターを選択するときは、AppScan Source 事前定義フィルターまたは共有フィルター、あるいは自分で作成したフィルターを選択できます。詳しくは、スキャン構成を参照してください。
「汚染フロー分析」タブ
汚染フロー分析を有効化して、スコープを設定します。
このセクションを使用して、スキャンに適用するソース・ルールを決定します。
ソースはプログラムへの入力で、ファイル、サーブレット要求、コンソール入力、ソケットなどがあります。一部のソース・ルールを除外することで、スキャンを高速化し、関心のない入力を起因とする脆弱性が検出されることを回避できます。
ルールには、そのルールが特定の脆弱性、メカニズム、属性、またはテクノロジーに関連するものであることを示すルール・プロパティーでタグが付けられます。これらのプロパティーはルール・セットにグループ化されます。ルール・セットは、関連する複数のルールの共通セットに対応します。スキャンに含めるソース・ルールを制限するには、ルール・セットまたは個別のルール・プロパティーを指定します。
- 以下の脆弱性タイプ (ルール・セット内でタイプ別に編成) を 1 つ以上スキャンに含めます。
- すべて (Everything): このオプションを選択すると、サポートされているすべての入力ソースを起因とする脆弱性が検出されます。
- ユーザーの入力: このオプションを選択すると、エンド・ユーザーの入力を起因とする脆弱性が検出されます。
- Web アプリケーション: このオプションを選択すると、Web アプリケーションのリスクを起因とする脆弱性が検出されます。
- エラー処理およびロギング (Error Handling and Logging): このオプションを選択すると、エラー処理およびロギング・メカニズムを起因とする脆弱性が検出されます。
- 環境: このオプションを選択すると、構成ファイル、システム環境ファイル、およびプロパティー・ファイルを起因とする脆弱性が検出されます。
- 外部システム: このオプションを選択すると、外部エンティティーを起因とする脆弱性が検出されます。
- データ・ストア: このオプションを選択すると、データ・ストア (データベースやキャッシングなど) を起因とする脆弱性が検出されます。
- 異常な項目: このオプションを選択すると、本番アプリケーションには通常含まれていないルーチンを起因とする脆弱性が検出されます。
- ファイル・システム: このオプションを選択すると、ファイル・システムを起因とする脆弱性が検出されます。
- 機密データ: このオプションを選択すると、機密データを起因とする脆弱性が検出されます。
吹き出しテキストが、このセクションの各ルール・セットについて説明します。
- 個別のスキャン・ルール・プロパティーを選択してスキャンに含めます。「選択済みのルール・セットを破棄して個別のルール・プロパティーを選択する (Discard selected rule sets and let me select individual rule properties)」をクリックします。これにより、「ルール・プロパティーの選択」ダイアログ・ボックスが開き、個々のルール・プロパティーを選択できるようになります。このダイアログ・ボックスでの作業が完了すると、選択されていたルール・セットがすべて破棄されます。選択されたルール・プロパティーを持つスキャン・ルールがスキャンに使用されます。
このセクションは、上級ユーザーのみを対象としています。このセクションには、スキャン結果を向上させるための、さまざまな設定が含まれています。吹き出しテキストは、このセクションの各設定について記述しています。
「パターン分析」タブ
このセクションを使用して、スキャン構成の使用時にパターン・ベースのスキャンを有効化します。パターン・ベースのスキャンは、カスタマイズされた検索基準に基づいてソース・コードの分析を行う機能です。
このセクションを使用して、パターン分析の際に使用するルールとルール・セットを追加します。詳しくは、パターン・ベースのルールによるカスタマイズおよびスキャン構成を参照してください。