特定の開発要件を満たすために製品を拡張する方法について説明します。
AppScan® Source for Development を使用すると、既存の開発環境で作業を行いながら、Java および IBM® MobileFirst Platform プロジェクトのセキュリティーの脆弱性を分析できます。セキュリティー分析は、ソース・コードの脆弱性を特定し、AppScan Source Security Knowledgebaseの修復支援機能を使用して脆弱性を完全に解消するのに役立ちます。
検出結果を含む複数のビューで、特定の検出結果を検索できます。検索基準には、バンドル、コード、ファイル、プロジェクト、または脆弱性タイプが含まれます。検出結果が「検索結果」ビューに表示されます。
HCL® AppScan® Source の文書へようこそ。
以下の、AppScan® Source に追加された新機能と、このリリースで非推奨になった機能についての注意について説明します。
HCL® AppScan® Source のインストール、アップグレード、およびアクティブ化の方法について説明します。
HCL® AppScan® Source でアプリケーション、フォルダー、プロジェクトを構成し、属性とプロパティーを設定する方法について説明します。
HCL® AppScan® Source での、ユーザー・アカウントと許可の管理、ユーザー・アクティビティーの監査、および統合の管理の方法について説明します。
このセクションでは、HCL® AppScan® Source でのソース・コードのスキャン方法および評価の管理方法について説明します。
類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® Source 評価のトリアージを行い、結果を分析する方法について説明します。
セキュリティー・アナリストおよびリスク・マネージャーは、選択された検出結果のレポート、またはソフトウェア・セキュリティーのベスト・プラクティスおよび法的要件へのコンプライアンスを測定するための一連の監査レポートにアクセスできます。このセクションでは、集約された検出結果データのレポートを作成する方法について説明します。
このセクションでは、脆弱性データベースをカスタマイズし、カスタマイズした脆弱性やその他のルーチンをスキャンに組み込む方法について説明します。
AppScan® Source では、Apache Tomcat および WebSphere® Application Server Liberty プロファイルから Java™ アプリケーションをインポートできます。このトピックで説明するように、アプリケーション・サーバーのインポート・フレームワークを拡張することにより、他のアプリケーションから Java アプリケーションをインポートできます。
AppScan® Source for Development は、MobileFirst Platform Application Scanning としても配布されています。MobileFirst Platform Application Scanning を使用すると、既存の開発環境で作業を行いながら、IBM® MobileFirst Platform プロジェクトのセキュリティーの脆弱性を分析できます。セキュリティー分析は、ソース・コードの脆弱性を特定し、AppScan Source Security Knowledgebaseの修復支援機能を使用して脆弱性を完全に解消するのに役立ちます。
AppScan® Source for Development プラグインは、AppScan Enterprise Serverの有無にかかわらず使用できます。server modeでは、以前の製品バージョンと同様に、スキャンを実行したり、共有データにアクセスしたりするために、サーバーに接続します。新しいlocal modeでは、AppScan Source for Development は AppScan Enterprise Server に接続することなく実行されるため、ユーザーはフィルター、スキャン構成、およびカスタム・ルールなどの共有項目にアクセスできません。
AppScan® Source for Analysis で以前に作成された、パス変数に依存している評価またはバンドルを開くには、一致する変数を開発環境で作成する必要があります。変数を作成すると、複数のコンピューターでデータを使用できるようになります。評価データを共有するには、適切な変数を定義する必要があります。
スキャン対象のプロジェクトのタイプや実行するスキャンのタイプによっては、実行前にスキャンを構成することが必要な場合があります。例えば、デフォルトで設定されたコンパイラー以外の JDK コンパイラーまたは JSP コンパイラーを使用するようにプロジェクトを構成できます。
全般設定では、ユーザーの好みに合わせて、AppScan® Source for Development のデフォルト設定の一部を調整できます。
Eclipse のワークスペース、プロジェクト、またはファイルをスキャンすることができます。これには、Java™ (Android を含む)、JavaServer Pages (JSP)、および IBM® MobileFirst Platform プロジェクトのスキャンが含まれます。
AppScan® Source は、ソース・コードをスキャンして脆弱性を検出し、検出結果を生成します。検出結果とは、スキャンによって検出された脆弱性のことです。スキャンの結果は、評価 と呼ばれます。保存済みの評価は、AppScan Source for Development または AppScan Source for Analysis から開くことができます。スキャンの終了後、この評価をファイルに保存できます。その後、この評価をいつでも開くことができます。評価は filename.ozasmt として保存されます。
検出結果を含むすべてのビュー (AppScan® Source for Analysis の「差分評価」ビューを除く) で、表示したい列と列順序のみを指定することで、検出結果表をカスタマイズできます。各ビューで異なる設定を使用できますが、オプションをすべてのビューに適用することもできます。列順序をカスタマイズするには、このタスク・トピックの手順に従ってください。
変更された検出結果とは、脆弱性タイプ、分類、または重大度が変更された検出結果、あるいは注釈が付けられた検出結果です。「変更された検出結果」ビューには、現在のアプリケーション (アプリケーションの評価を開いた結果、アクティブになっているアプリケーション) について、これらの検出結果が表示されます。「自分の評価」ビュー ( AppScan® Source for Analysisでのみ使用可能) では、「変更済み」列に、検出結果が現在の評価で変更されたかどうかが示されます。
AppScan® Source は、セキュリティー・エラーまたは一般的な設計上の障害について警告し、解決のプロセスを支援します。AppScan Source Security Knowledgebaseや、内部または外部のコード・エディターが、このプロセスで役立ちます。
スキャン後に、一部の検出結果が現在の作業に関係ないと判断した場合、スキャン結果のトリアージを行う際にその検出結果を検出結果表に表示しないようにします。これらの除外 (または除外された検出結果) は、「検出結果」ビューに表示されなくなり、評価メトリックは、変更された結果によって直ちに更新されます。構成に追加されたフィルターおよびバンドルの除外は、後続のスキャンに対してのみ実施されます。
AppScan® Source には、フィルターを作成および使用するための方法が複数用意されています。フィルター作成用のメイン・ビューである「フィルター・エディター」ビューには一連の堅固なルールが備えられ、これらを手動で設定し、フィルターに保存できます。「フィルター・エディター」ビューには、作成済みのフィルターを管理するメカニズムも用意されています。これにより、フィルターを容易に変更または削除できます。また、検出結果をグラフィカルに表現するビューを使用して検出結果表をフィルタリングし、それらのフィルターを「フィルター・エディター」ビューで保存することもできます。フィルターを作成すると、他のビューもフィルター・プロパティーを反映するように更新されます。
コードの装飾に使用される一部の注釈および属性は、スキャン中に処理されます。スキャン中に、サポートされる注釈または属性がコード内で検出されると、装飾されたメソッドに、汚染されたコールバックとしてマークを付けるために、その情報が使用されます。汚染されたコールバックとしてマークされたメソッドは、すべての引数に汚染されたデータがあるものとして扱われます。その結果、トレースでより多くの検出結果が得られます。このヘルプ・トピックでは、サポートされる注釈および属性のリストを示します。
バンドル (検出結果をグループ化するメカニズム) を使用すると、AppScan® Source for Analysis から AppScan Source for Development に、検出結果のスナップショットをインポートすることができます。検出結果をバンドルにすると、AppScan Source for Development を使用して、バンドルが含まれたプロジェクトを開いたり、バンドルをインポートしたり、保存されたバンドル・ファイル (file_name.ozbdl) を開いたりできます。
AppScan® Source トレースを使用して、入力データの検証およびエンコードが自社のソフトウェア・セキュリティー・ポリシーに沿うものであることを確認できます。入出力トレース・データの生成元になる検出結果を調べて、メソッドを検証ルーチンおよびエンコード・ルーチン、ソースまたはシンク、コールバック、あるいは汚染伝播元としてマークすることができます。
AppScan® Source for Development の各ビューおよびウィンドウは、検出結果を別の様式で表現します。これらのビューおよびウィンドウでは、コード編集がサポートされており、ワークベンチ内の情報をナビゲートすることができます。ビューは単独で表示される場合も、タブ付きのノートブック形式で他のビューと重なって表示される場合もあります。ビューを開いたり閉じたりすることによって、またビューを「ワークベンチ」ウィンドウ内のさまざまな位置に配置することによって、パースペクティブのレイアウトやウィンドウのレイアウトを変更できます。
AppScan® Source をインストールすると、ユーザー・データ・ファイルおよび構成ファイルは、インストール・ディレクトリー以外の場所に保管されます。
共通脆弱性タイプ一覧 (CWE: Common Weakness Enumeration) は、公的に認識されているソフトウェアの脆弱性に関する一般名を提供する業界標準のリストです。このトピックでは、AppScan® Source の現行バージョンでサポート対象の CWE ID を示します。
検出結果の自動トリアージと分析の詳細は、AppScan® Source を参照してください。
HCL® AppScan® Source の参照情報 (ユーティリティー、プラグイン、および API の使用を含む) を確認します。
HCL® AppScan® Source の使用中に発生する問題のトラブルシューティングに役立つ、セルフ・ヘルプ情報、リソース、およびツール。