Jump to main content
ようこそ
HCL AppScan Standard バージョン 10.7.0 のドキュメントへようこそ。
はじめに
このセクションでは、ウィザードを使用したスキャンのセットアップを含む、基本的な製品の機能および手順について簡単に紹介します。
概要
新機能
このセクションでは、このリリースにおける AppScan Standard 製品の新機能と拡張機能の他、推奨されない機能と、予想される変更についても説明します。
システム要件
ここでは、 を実行するマシンAppScan Standardに必要な最低限のハードウェアとソフトウェアの概要を示します。
インストール
インストール・ウィザードにより、簡単で迅速なインストールを実行できます。
ライセンス
このセクションでは、AppScan Standard の試用版および有料バージョンについて説明します。
自動スキャンの仕組み
このトピックでは、スキャンの「ステージ」と「フェーズ」の違いについて説明します。
Web アプリケーションと API の探査方法
このトピックでは、AppScan によるテストの前にサイトを探査するために使用可能なさまざまな方法について説明しています。
Web アプリケーションの自動スキャン・ワークフロー
Web アプリケーションの自動スキャンの簡単なワークフローを説明します。
Web API 自動スキャン・ワークフロー
Web API の自動スキャンの簡単なワークフローを提供します。
ホーム画面
AppScan Standard のロード時に開くホーム画面で使用可能なオプションを説明します。
メイン画面のツアー
AppScan のメイン画面 (「問題」ビュー) の構成要素、およびすべてのメニューとツールバーについて説明します。
チュートリアル
この簡単なチュートリアルでは、スキャン構成ウィザードを使用した単純なアプリケーション・スキャンの構成、スキャンの実行、および結果の確認を行う手順を順番に示します。
サンプル・ファイル
サンプル・ファイルは、AppScan の使用感、およびスキャン結果がどのように表示されるかを確認するのに役立ちます。
構成
ご使用のアプリケーションと希望するテストの種類に最も当てはまる設定を選択して、スキャンを構成します。
プリセット
プリセットでは、特定のタイプのスキャンに必要なメイン構成ビューが提供されます。
ビュー
SCAN ファイルの構造
AppScan Standard SCAN ファイルの基本的な構造について説明します。
スキャン・テンプレート
スキャン・テンプレートとは、再使用できるように保存された単なるスキャン構成 です。
スキャン中の構成の変更
マニュアル探査
マニュアル探査を使用すると、実行中にフィールドおよびフォームを入力しながらアプリケーションの特定の部分を探査することができます。この方法を使用することで、サイトの特定のエリアが確実にカバーされ、AppScan では、すべてのフォームへの正しい入力に必要な情報を得ることができます。
ブラウザーの使用
Web アプリケーションを対象にしたマニュアル探査の場合、通常、組み込みの Chromium ブラウザーを使用できます。必要に応じて、外部ブラウザーを使用できます。
外部クライアントの使用
携帯電話、シミュレーター、またはエミュレーターを使用し、RESTful あるいはその他の非 SOAP Web API (またはセキュリティー・エンベロープを必要としない SOAP API) を手動で探査することができます。AppScan はそのトラフィック・レコーダーにドメインと要求を表示し、入力から適切なテストを作成します。
スキャン
スキャンの開始方法、スキャン中に何が行われるか、探査ステージの手動による操作方法、スキャン結果のエクスポート方法について説明します。
Data (データ)
データ・ビューには、スキャンの探査のステージ中にサイトの構造に関する情報が取り込まれます。
問題
「問題」ビューでは、スキャンの結果にアクセスできます。結果を概略レベルで表示することも、特定のテストまたはオブジェクトを選択して詳細にアクセスすることもできます。これらの詳細には、修正方法、要求/応答、および問題が発生したテスト・バリアント間の差が含まれます。問題の重大度を操作したり、(修正ありまたは修正なしで) テストを再送したり、問題に基づいたレポートを作成したりできます。
レポート・レイアウトのカスタマイズ
「レポート作成」ダイアログ・ボックスの「レポート・レイアウトのカスタマイズ」オプションを使用して、レポートの外観をカスタマイズできます。この機能はオプションです。デフォルトのレイアウトを使用してレポートを作成して問題ありません。
レポートの表示と保存
レポートはさまざまな形式で生成、表示、保存できます。
部分レポートの作成
レポートを作成する URL またはフォルダーを右クリックすることで、スキャン結果のサブセットのセキュリティー・レポートまたはテンプレートに基づくレポートを作成できます。
前のバージョンのレポート・テンプレート
いくつかの業界標準テンプレートおよびコンプライアンス・テンプレートについては、前のバージョンが「Old Versions」フォルダーに保存されています。
セキュリティー・レポート
セキュリティー・レポートには、検出されたセキュリティー問題に関する情報が出力され、ユーザーは必要なコンテンツ・タイプに応じて各種テンプレートから選択することができます。
コンプライアンス・レポート
コンプライアンス・レポートは、コンプライアンス・レポートと業界標準のレポートで構成されています。コンプライアンス・レポートを利用すると、ユーザーのアプリケーションが、特定の規制や法的標準に準拠しているかどうかが分かります。業界標準のレポートを利用すると、ユーザーのアプリケーションが、選択した業界の委員会の標準に準拠しているかどうかが分かります。
差分分析レポート
「差分分析」レポートでは、2 組のスキャン結果が比較され、URL とそこで発見されたセキュリティー問題の差異が示されます。
テンプレートに基づくレポート
「レポート作成」ダイアログ・ボックスの「テンプレートに基づく」タブでは、ユーザーが必要とするデータのみを指定して、ユーザーが定義する文書フォーマット設定で、Microsoft® Word DOC および DOCX 形式のレポートを作成できます。
ツール
このセクションでは、HCL AppScan Standard が提供する追加ツールの使用法を説明します。
「オプション」ダイアログ・ボックス
このセクションでは、AppScan をカスタマイズするために、「オプション」ダイアログ・ボックス (「ツール」>「オプション」) から制御できるオプションについて説明します。
Web API ウィザード拡張
この拡張機能では、Open API 記述ファイルを使用してスキャンできます。この拡張機能は、「ツール」 > 「エクステンション」 > 「Web サービス・ウィザード (OpenAPI)」から利用でき、デフォルトで有効になっています。
スキャン・スケジューラー
ユーザー定義テスト
パワー・ツール
AppScan は 5 つのユーティリティー (パワー・ツール) にアクセスします。各パワー・ツールは、アプリケーションのセキュリティーを管理したり、 AppScan を使用する際に役立つ特定の機能を提供します。
「ツール」メニューのカスタマイズ
拡張
ログ
ログは、トラブルシューティングに役立ちます。
検索結果
すべてのビューで特定のデータについて「結果リスト」をフィルタリングすることができます。
統合
このセクションでは、その他のアプリケーションと AppScan Standard との統合について説明します。
AppScan on Cloud
このセクションでは、クラウド上のアプリケーションをスキャンするために、AppScan Standard が HCL AppScan on Cloud と対話する方法について説明します。
AppScan 360°
このセクションでは、AppScan Standard と HCL AppScan 360° の連携方法について説明します。
AppScan Enterprise
このセクションでは、AppScan Standard 版と Enterprise 版の相互作用について説明します。
自動化フレームワーク
QA 自動化フレームワーク (Selenium など) のために記述されたスクリプトを使用して、AppScan スキャンでマニュアル探査記録を作成することができます。
ベスト・プラクティス
このセクションでは、上級ユーザー向けのベスト・プラクティスおよびユース・ケースについて説明します。
上級ユーザー用のワークフロー
このワークフローは、Web セキュリティー分野の経験を持つユーザーが、さらに詳細なスキャンを実行する場合に役立ちます。
パラメーター・ベースの移動を使用するサイト
単一の URL を使用してすべてのページにアクセスできるサイトでは、特定のスキャン構成が必要です。
ライブ実稼働環境のスキャン
AppScan を使用してライブ・サイトをスキャンする前に、以下のリスクと提案について考慮してください。
テストの最適化の理解
このセクションでは、テストの最適化の動作と、テストの最適化を開発ライフサイクルに組み込むための最善の方法について説明します。
よくある質問
このトピックでは、一般的なアプリケーションについての質問を扱います。
トラブルシューティングツール
デジタル署名のトラブルシューティング
外部トラフィック・レコーダーによって記録できない
外部デバイスが適切に構成されている場合、AppScan の外部ログイン・レコーダーと外部トラフィック・レコーダーは、ユーザーがそのデバイスから送信するトラフィックを、送信ごとに表示します。このセクションでは、そのように表示されない場合の対処方法を提示しています。
ディスクの空き容量が不足しています
ライセンスのトラブルシューティング
このセクションでは、HCL から発行されたライセンスに関するトラブルシューティングについて説明します。
ログインのトラブルシューティング
「スキャン構成」 > 「ログイン管理」ビューでのセッション検出の問題のトラブルシューティングのヒント。
仮想メモリーが不足しています
マルチステップ操作のトラブルシューティング
アクション・ベースのマルチステップ操作のトラブルシューティングに関するいくつかの提案。
URL が見つかりません
セッション外のトラブルシューティング
セッション外の問題のトラブルシューティングについていくつか提案します。
Postman コレクション・スキャン
Postman コレクション・スキャンのトラブルシューティングに関するいくつかの提案。
サーバーが応答していない
サーバーが応答しない場合のトラブルシューティングについていくつか提案します。
拡張サポート・モード
拡張サポート・モードでは、AppScan のすべてのアクティビティーがログに記録されます。問題のある手順のトラブルシューティングのため、それらのログをパッキングしてサポート・プロバイダーに送信することができます。
デフォルト・ブラウザーの変更
標準装備のブラウザー以外のブラウザーを使用するように AppScan を構成することができます。
誤検出結果の報告
ログ
このセクションでは、スキャン・ログ・メッセージについて説明します (「表示」>「スキャン・ログ」)
CLI
このセクションでは、コマンド行インターフェースを使って使用できる構文およびオプションを説明しています。
参照
メニューおよびツールバーの概要および用語集
メニューバー
ブラウザーのツールバー
アプリケーション応答に関するスクリーン・ショットの表示および保存に使用される、組み込みの AppScan® ブラウザーのツールバー上のアイコン。
キーボード・ショートカット
AppScan には、次のキーボード・ショートカットが用意されています。
一時ファイル
AppScan® が通常の操作中に一時ファイルを保存する場所と、その場所の変更方法を説明します。
用語集
この用語集は、AppScan® Standard のユーザー・インターフェースおよび資料で使用されている用語と頭字語について説明します。
コンプライアンス
CWE サポート
共通脆弱性タイプ一覧 (Common Weakness Enumeration) は、公的に認識されているソフトウェアの脆弱性に関する一般名を提供する業界標準のリストです。以下に示す CWE の ID と、その親 ID または子 ID が、現在のバージョンの AppScan Standard でサポートされています。
CVE サポート
特記事項