HCL® AppScan® Source の参照情報 (ユーティリティー、プラグイン、および API の使用を含む) を確認します。
データ・アクセス API は、AppScan® Source によって生成された評価結果へのアクセスを提供します。この評価結果には、検出結果、検出結果の詳細が含まれます。また、分析日時、コード行、V-density、検出結果の数などの評価の測定基準へのアクセスも提供します。
AppScan® Source for Development の各ビューおよびウィンドウは、検出結果を別の様式で表現します。これらのビューおよびウィンドウでは、コード編集がサポートされており、ワークベンチ内の情報をナビゲートすることができます。ビューは単独で表示される場合も、タブ付きのノートブック形式で他のビューと重なって表示される場合もあります。ビューを開いたり閉じたりすることによって、またビューを「ワークベンチ」ウィンドウ内のさまざまな位置に配置することによって、パースペクティブのレイアウトやウィンドウのレイアウトを変更できます。
このセクションのビューは、細分化されたスキャン出力の表示と管理に使用されます。
検出結果を含む複数のビューで、特定の検出結果を検索できます。検索基準には、バンドル、コード、ファイル、プロジェクト、または脆弱性タイプが含まれます。検出結果が「検索結果」ビューに表示されます。
HCL® AppScan® Source の文書へようこそ。
以下の、AppScan® Source に追加された新機能と、このリリースで非推奨になった機能についての注意について説明します。
HCL® AppScan® Source のインストール、アップグレード、およびアクティブ化の方法について説明します。
HCL® AppScan® Source でアプリケーション、フォルダー、プロジェクトを構成し、属性とプロパティーを設定する方法について説明します。
HCL® AppScan® Source での、ユーザー・アカウントと許可の管理、ユーザー・アクティビティーの監査、および統合の管理の方法について説明します。
このセクションでは、HCL® AppScan® Source でのソース・コードのスキャン方法および評価の管理方法について説明します。
類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® Source 評価のトリアージを行い、結果を分析する方法について説明します。
セキュリティー・アナリストおよびリスク・マネージャーは、選択された検出結果のレポート、またはソフトウェア・セキュリティーのベスト・プラクティスおよび法的要件へのコンプライアンスを測定するための一連の監査レポートにアクセスできます。このセクションでは、集約された検出結果データのレポートを作成する方法について説明します。
特定の開発要件を満たすために製品を拡張する方法について説明します。
Ounce/Make は、makefile を使用するビルド環境から AppScan® Source への構成情報のインポートを自動化するツールです。Ounce/Make を使用すると、makefiles から構成情報を手動でインポートする必要がなくなるため、プロジェクトを構成する際にはこの方法をお勧めします。
makefile
makefiles
CLI は、中核の AppScan® Source 機能とのインターフェースです。
このセクションでは、AppScan® Source と Apache Ant を統合する AppScan Source ビルド・ユーティリティーである、Ounce/Ant の使用方法について説明します。使用する Ant 環境に Ounce/Ant を統合すると、ビルドの自動化と評価のコード化に役立ちます。
複数のデータ・アクセス API シナリオの完全な例は、<install_dir>\sdk\sample\com\ouncelabs\sdk\sample(<install_dir> は AppScan® Source インストールの場所です) に含まれている SamplePublished.java ファイルと SampleSdk.java ファイルにあります。
このセクションでは、Ounce/Maven プラグインについて説明します。このプラグインは、Apache ビルド・ツールである Maven を使用して、AppScan® Source を Maven のワークフローに統合します。
Automation Server (ounceautod) では、ソフトウェア開発のライフサイクル (SDLC) 全体で AppScan® Source ワークフローの重要な部分を自動化し、セキュリティーとビルド環境を統合できます。Automation Server では、スキャンして評価を公開する要求をキューに入れて、アプリケーション・コードのセキュリティーに関するレポートを生成できます。
ounceautod
AppScan® Source には、アプリケーションで使用されているフレームワークに対するサポートを追加するための Java™ API のセットが用意されています。それらの API で提供されるクラスやメソッドを使用することで、組み込みのサポートが提供されていないフレームワークを考慮できます。
AppScan® Source for Analysis には、サンプル・アプリケーション サンプル・アプリケーションが含まれており、これを使用して製品に慣れることができます。
AppScan® Source を最大限に活用するには、AppScan Source for Analysis の作業環境の基本概念と、現在のワークフローに最適なオプションの使用方法について理解する必要があります。
このセクションのビューは、AppScan® Source を構成するために使用されます。
このセクションのビューは、スキャン出力の表示と管理に使用されます。
「差分評価」ビューは、「マイ評価」ビューと「検出結果」ビューの組み合わせを表します。比較する 2 つの評価を選択すると、2 つの評価の差異が表示されます。
「カスタム検出結果」ビューには、現在開いている評価に存在するユーザー定義の検出結果 (カスタム検出結果) が表示されます。このビューでは、現在の評価のカスタム検出結果の作成、削除、および変更を実行できます。「カスタム検出結果」ビューでカスタム検出結果を作成すると、新規の検出結果が現在の評価に追加され、評価メトリックが更新されます。
「検出結果」ビューには、評価における検出結果のデータが表示されます。このトピックにリストされているパラメーターによって検出結果をグループ化することができます。
「除外された検出結果」ビューには、除外された検出結果のみが表示されます。除外された検出結果とは、スキャンから除外した検出結果です。このビューでは、特定の検出結果を検索できます。このビュー内の列は、「検出結果」ビュー内の列と同一です。
「変更された検出結果」ビューには、現行アプリケーションの、変更されたすべての検出結果が表示されます。変更された検出結果 とは、脆弱性タイプ、重大度、分類、または注が変更された検出結果です。失われた検出結果 (現在開いている評価には存在しない検出結果) は、緑のイタリック体で表示され、変更できません。
「解決済みの検出結果」ビューには、バンドル内にはあっても、現在の評価には含まれない検出結果が示されます。検出結果が修正された/存在しない検出結果として識別されるのは、それが解決されたか、削除されたか、またはソース・ファイルがスキャンされなかったためです。
検出結果を検索すると、その結果が「検索結果」ビューに表示されます。
「レポート」ビューでは、ソフトウェア・セキュリティーのベスト・プラクティスと規制要件へのコンプライアンスを測定するさまざまな監査レポートに基づいてスキャン結果を編成することができます。
「ソースとシンク」ビューでは、入力および出力のトレースに基づいて検出結果を表示できます。
このセクションのビューは、単一の検出結果の調査に使用されます。
このセクションのビューは、評価のハイレベルな操作に使用されます。
「バンドル」ビューでは、新規バンドルの作成、バンドルへの検出結果の追加、バンドルおよび注記の表示、バンドルの名前の変更、またはバンドルの削除を実行できます。このビューには、バンドル名、バンドルに付加されたすべての注記、バンドル内の検出結果の数、およびバンドルが除外されているかどうかが表示されます。一度バンドルを開いて内容を表示すると、検出結果を他のバンドルに移動したり、検出結果を変更したり、コードを編集したり、バンドルを障害追跡システムに送信したりできます。
共通脆弱性タイプ一覧 (CWE: Common Weakness Enumeration) は、公的に認識されているソフトウェアの脆弱性に関する一般名を提供する業界標準のリストです。このトピックでは、AppScan® Source の現行バージョンでサポート対象の CWE ID を示します。
一般的な製品の用語について説明します。
HCL® AppScan® Source の使用中に発生する問題のトラブルシューティングに役立つ、セルフ・ヘルプ情報、リソース、およびツール。