Quick Start (jp_クイックスタート)
クイックスタートでは、初めてプロジェクトスキャンを行う場合の設定や、プリセットの概要について説明します。
セットアップ
Projects&Scans > Create New Projectと選択のうえ、次の操作を行います。
ステップ1: プロジェクトの基本設定
Project Name: 適切なプロジェクト名を入力します。
Preset: プリセットでは、プロジェクトのスキャンルールを決定します。ドロップダウンリストから適切なスキャン用のプリセットを選択してください。
Configuration: 新しいプロジェクトの設定を選びます。評価版を使用している場合は、デフォルトの設定を適用してください。
Team: 新しいプロジェクトのチームを選択します。評価版を使用している場合は、デフォルトの設定を適用してください。
評価版を使用する場合、ConfigurationおよびTeamフィールドはデフォルト設定を推奨します。
ステップ2: スキャン対象のソースの選択
Localフィールドに、zipで圧縮したコードファイルを指定してコードをアップロードします。コードは必ずMS zipで圧縮してください。テストアカウントのコード行数(LOC)の上限は、350,000行です。
Shared、Source Control、Source Pullingを使用することで、それぞれ別のファイル形式でコードをアップロードすることができます。
「OWASP Benchmark Project」コードをスキャンすることも可能です。こちらのページを開いてCloneまたはdownloadボタンをクリックし、希望のオプションを選択してください。
この他に、以下のスキャン用サンプルコードが用意されています。
Bookstore.Net、Bookstore.Java、Bookstore.php4、WebGoat5.0、WebGoat6.0、CPP Example、iGoat、Samples、Android
Browser/Eclipse/Visual Studio/IBM RADを使用する場合には、ブラウザオプションを用いて開始してください。
Finishボタンが有効になったら、このボタンをクリックしてプロジェクトをキューへ追加します。
ステップ3: スキャンの実行
Projects & Scans >Queue と選び、キューテーブルに表示されている当該プロジェクをクリックすると、スキャンの進捗を確認することができます。
スキャン結果の表示
ステップ1: Projects & Scans
Projects & Scans > Projectsと選び、Scans Listをクリックすると、スキャンの結果およびアカウントアクティビティの詳細サマリが表示されます。
詳細は、ダッシュボードを参照してください。
ステップ2: ソースコードのスキャン結果の表示
ソースコードの詳細なスキャン結果を表示します。脆弱性と検出された攻撃パスが強調表示されます。
View Resultsページは、次の4つのパネルで構成されています。
- Scan Results Summary(脆弱性ごと)
- Results table or Graph
- Attack Vector
- Source code
Scan Results Summaryパネル
Scan Results Summaryパネル: 検出された脆弱性のサマリを、High/Medium/Lowのグループごとに表示します。サマリには、コード内に脆弱性が存在するインスタンスの数が表示されます。「tool tip」では、特定の脆弱性や、それを修正するためのベストプラクティスに関する説明を確認することが可能です。
Source Codeパネル: ソースコード内で検出された脆弱性をピンポイントで表示します。
Results Table: 各脆弱性が存在するインスタンスや詳細情報の一覧を表示します。結果を管理するために、Filterボタンを活用してデータの整理やスキャン結果の保存を行うことができます。
Graph: コード内で検出された脆弱性の全体像をマクロチャートで表します。相関関係を把握して、最適な修正箇所(赤いボタン)を特定します。
Attack Vector: Resultsパネルで選択された脆弱性インスタンスを構成する、コード要素のフルパスを示します。
詳細は、Working with Scan Resultsを参照してください。
Preset Manager: 概要
プリセット設定は、クエリのグループで構成されます。Preset Managerでは、プリセットごとにクエリの詳細を確認するこができます。
Preset Managerにアクセスするには、Management > Scan Settings > Preset Managerの順に選択してください。プリセット内に含まれるクエリが右側のパネルに表示されます。各クエリで検出された脆弱性の説明は、画面下にあるQuery Descriptionに示されます。
詳しい説明については、Managing Presetsを参照してください。