ようこそ
HCL AppScan Standard バージョン 10.0.1 のドキュメントへようこそ。
このセクションでは、ウィザードを使用したスキャンのセットアップを含む、基本的な製品の機能および手順について簡単に紹介します。
新機能
このセクションでは、このリリースにおける製品の新機能と拡張機能のほか、推奨されない機能と、予想される変更についても説明します。
システム要件
ここでは、 を実行するマシンAppScan Standardに必要な最低限のハードウェアとソフトウェアの概要を示します。
インストール
インストール・ウィザードにより、簡単で迅速なインストールを実行できます。
ライセンス
このセクションでは、ライセンスのインストールと管理について説明しています。
自動スキャンの仕組み
このトピックでは、スキャンの「ステージ」と「フェーズ」の違いについて説明します。
Web アプリケーションと Web サービスの比較
このトピックでは、AppScan によるテストの前にサイトを探査するために使用可能なさまざまな方法について説明しています。
基本ワークフロー
スキャン構成ウィザードを使用する単純な AppScan ワークフローを示した図です。
メイン・ウィンドウのツアー
AppScan のメイン・ウィンドウの構成要素、およびすべてのメニューとツールバーについて説明します。
ようこそ画面
AppScan のロード時に開く「ようこそ」画面で使用可能なオプションを説明します。
チュートリアル
この簡単なチュートリアルでは、スキャン構成ウィザードを使用した単純なアプリケーション・スキャンの構成、スキャンの実行、および結果の確認を行う手順を順番に示します。
サンプル・スキャン
サンプル・スキャンは、AppScan の使用感、およびスキャン結果がどのように表示されるかを確認するのに役立ちます。
ご使用のアプリケーションと希望するテストの種類に最も当てはまる設定を選択して、スキャンを構成します。
スキャン構成ウィザード
このウィザードを使用して、基本的なスキャンを迅速に構成できます。
SCAN ファイルの構造
AppScan Standard SCAN ファイルの基本的な構造について説明します。
スキャン・テンプレート
スキャン・テンプレートとは、再使用できるように保存された単なるスキャン構成 です。
このセクションでは、スキャンのテスト・ステージを開始する前、あるいは自動スキャン (自動探査ステージと自動テスト・ステージの両方を含む) を開始する前に、アプリケーションまたはサービスを手動で探査する方法について説明します。
AppScan の使用
マニュアル探査を使用すると、実行中にフィールドおよびフォームを入力しながらアプリケーションの特定の部分を探査することができます。この方法を使用することで、サイトの特定のエリアが確実にカバーされ、AppScan では、すべてのフォームへの正しい入力に必要な情報を得ることができます。
記録プロキシーとして AppScan を使用
AppScan の外部トラフィック・レコーダーを記録プロキシーとして使用する場合にこのオプションを選択します。携帯電話、シミュレーター、またはエミュレーターを使用し、RESTful あるいはその他の非SOAP Web サービス (またはセキュリティー・エンベロープを必要としないSOAP サービス) を手動で探査することができます。AppScan はそのトラフィック・レコーダーにドメインと要求を表示し、入力から適切なテストを作成します。
GSC の使用
Generic Service Client (GSC) は、ご使用の Web サービスの WSDL ファイルを使用して、単純なインターフェースで使用可能なサービスを表示し、ユーザーによるパラメーターの入力や結果の表示を可能にします。GSC インターフェースを使用して Web サービスを手動で探査することで、AppScan は、ユーザーの入力を使用して適切なテストを作成することが可能になります。
スキャンの開始方法、スキャン中に何が行われるか、探査ステージの手動による操作方法、スキャン結果のエクスポート方法について説明します。
AppScan では、スキャン結果は次の 3 つのビューで表示されます。
アプリケーション・データ
AppScan では、「アプリケーション・データ」、「セキュリティーの問題」、および「修復タスク」といった 3 つの方法でスキャン結果の表示と処理を行うことができます。本セクションでは、「アプリケーション・データ」ビューについて説明します。
セキュリティー問題
AppScan では、セキュリティーの問題、修復タスク、アプリケーション・データです。このセクションでは、「セキュリティー問題」ビューについて説明します。
修復タスク
AppScan では、セキュリティーの問題、修復タスク、アプリケーション・データです。このセクションでは、「修復タスク」ビューについて説明します。
このセクションでは、スキャン結果からレポートを生成する方法について説明します。
セキュリティー・レポート
セキュリティー・レポートには、検出されたセキュリティー問題に関する情報が出力され、ユーザーは必要なコンテンツ・タイプに応じて各種テンプレートから選択することができます。
業界標準のレポートおよびコンプライアンス・レポート
業界標準のレポートを使用すると、アプリケーションが、選択した業界の委員会の標準に準拠しているかどうかが分かります。コンプライアンス・レポートを使用すると、アプリケーションが、特定の規制や法定基準に準拠しているかどうかが分かります。
差分分析レポート
「差分分析」レポートでは、2 組のスキャン結果が比較され、URL とそこで発見されたセキュリティー問題の差異が示されます。
テンプレートに基づくレポート
「レポート作成」ダイアログ・ボックスの「テンプレートに基づく」タブでは、ユーザーが必要とするデータのみを指定して、ユーザーが定義する文書フォーマット設定で、Microsoft® Word DOC および DOCX 形式のレポートを作成できます。
このセクションでは、HCL AppScan Standard が提供する追加ツールの使用法を説明します。
「オプション」ダイアログ・ボックス
このセクションでは、AppScan をカスタマイズするために、「オプション」ダイアログ・ボックス (「ツール」>「オプション」) から制御できるオプションについて説明します。
Web サービス・ウィザード拡張
この拡張機能では、Open API 記述ファイルを使用してスキャンできます。この拡張機能は「ツール」 > 「エクステンション」 > 「Web サービス・ウィザード (オープン API)」から利用でき、デフォルトで有効になっています。
パワー・ツール
AppScan は 5 つのユーティリティー (パワー・ツール) にアクセスします。各パワー・ツールは、アプリケーションのセキュリティーを管理したり、 AppScan を使用する際に役立つ特定の機能を提供します。
Generic Service Client (GSC)
Generic Service Client (GSC) は、使用可能なサービスを表示し、パラメーターを入力したり、結果を表示したりできる単純なインターフェースを提供します。これを使用して SOAP Web サービスを手動で探査することで、AppScan がユーザーの入力を使用して適切なテストを作成することが可能になります。
ログ
ログは、トラブルシューティングに役立ちます。
検索結果
すべてのビューで特定のデータについて「結果リスト」をフィルタリングすることができます。
このセクションでは、その他のアプリケーションと AppScan Standard との統合について説明します。
AppScan Enterprise
このセクションでは、AppScan Standard 版と Enterprise 版の相互作用について説明します。
AppScan on Cloud
このセクションでは、クラウド上のアプリケーションをスキャンするために、AppScan Standard が HCL AppScan on Cloud と対話する方法について説明します。
自動化フレームワーク
QA 自動化フレームワーク (Selenium など) のために記述されたスクリプトを使用して、AppScan スキャンでマニュアル探査記録を作成することができます。
このセクションでは、上級ユーザー向けのベスト・プラクティスおよびユース・ケースについて説明します。
上級ユーザー用のワークフロー
このワークフローは、Web セキュリティー分野の経験を持つユーザーが、さらに詳細なスキャンを実行する場合に役立ちます。
パラメーター・ベースの移動を使用するサイト
単一の URL を使用してすべてのページにアクセスできるサイトでは、特定のスキャン構成が必要です。
ライブ実稼働環境のスキャン
AppScan を使用してライブ・サイトをスキャンする前に、以下のリスクと提案について考慮してください。
テストの最適化の理解
このセクションでは、テストの最適化の動作と、テストの最適化を開発ライフサイクルに組み込むための最善の方法について説明します。
よくある質問
このトピックでは、一般的なアプリケーションについての質問を扱います。
レガシー・スキャン・テンプレートのインポート
8.6 より前のバージョンの AppScan に保存されているスキャンからスキャン・テンプレートをインポートする方法。
拡張サポート・モード
拡張サポート・モードでは、AppScan のすべてのアクティビティーがログに記録されます。問題のある手順のトラブルシューティングのため、それらのログをパッキングしてサポート・プロバイダーに送信することができます。
デフォルト・ブラウザーの変更
標準装備のブラウザー以外のブラウザーを使用するように AppScan を構成することができます。
ログインのトラブルシューティング
「スキャン構成」 > 「ログイン管理」ビューでのセッション検出の問題のトラブルシューティングのヒント。
探査ステージが長い、または終了しない
ある種類のサイトでは、探査ステージに長い時間がかかったり、探査ステージが終了しないことがあります。
マルチステップ操作のトラブルシューティング
アクション・ベースのマルチステップ操作のトラブルシューティングに関するいくつかの提案。
署名なしエクステンションの置換
以前のバージョンの AppScan で使用した署名なしエクステンションを使用する場合は、それを信頼するよう選択することも、それの代わりとなる署名済みバージョンがあるか確認することもできます。
スキャン・ログ・メッセージ
以下のセクションでは、スキャン・ログ・メッセージ (「表示」 > 「スキャン・ログ」) について説明します。
AppScan® ログ・メッセージ
以下のセクションでは、AppScan® ログ・メッセージについて説明します。(「ヘルプ」 > 「AppScan ログ」)
このセクションでは、コマンド行インターフェースを使って使用できる構文およびオプションを説明しています。
メニューおよびツールバーの概要および用語集
ブラウザーのツールバー
アプリケーション応答に関するスクリーン・ショットの表示および保存に使用される、組み込みの AppScan® ブラウザーのツールバー上のアイコン。
「ファイル」メニュー
スキャンの作成、オープン、保存などに使用します。
「編集」メニュー
スキャン結果のカスタマイズに使用します。
「表示」メニュー
メイン・ウィンドウの表示方法、および表示されるデータを決定するために使用します。
「スキャン」メニュー
スキャンを制御するために使用します。
「ツール」メニュー
HCL パワー・ツールをはじめ、さまざまなレポート作成ツールやカスタマイズ・ツールが提供されます。
「ヘルプ」メニュー
マニュアルへのアクセス、サポートの支援の要請、新規ライセンスの取得に使用します。
アクセシビリティー制御
すべてのキーボード・ショートカットおよび制御について説明します。
一時ファイル
AppScan® が通常の操作中に一時ファイルを保存する場所と、その場所の変更方法を説明します。
CWE サポート
共通脆弱性タイプ一覧 (Common Weakness Enumeration) は、公的に認識されているソフトウェアの脆弱性に関する一般名を提供する業界標準のリストです。以下に示す CWE の ID と、その親 ID または子 ID が、現在のバージョンの AppScan Standard でサポートされています。
用語集
この用語集は、AppScan® Standard のユーザー・インターフェースおよび資料で使用されている用語と頭字語について説明します。