ELT Home Page

Code Dx FAQ(よくある質問)

サーバー要件:

  • デュアルコアCPU
  • 4GB以上のRAM
  • 10 GB以上のハードディスク、SSDを推奨
  • Windows(7+およびServer 2012 R2 +)、またはMac OS X 10.8+、またはLinux(Ubuntu、Fedora、Debian、RHEL、およびCentOS)。これらは、Code Dxが現在テストされているプラ​​ットフォームです。

クライアントブラウザの要件:

  • Internet Explorer 11以降
  • Chrome 12以降
  • Firefox 8以降
  • Safari 5以降

いいえ。CodeDxは、既存のWebサーバーまたは仮想マシンに常駐できるJavaベースのツールです。専用サーバーは必要ありません。ご使用の環境に最適な構成を使用してください。

次のようなツール:

  • HP Fortify 360 Static Code Analyzer
  • IBM AppScan
  • チェックマルクス
  • GrammaTech CodeSonar
  • Parasoft JTest
  • Parasoft DotTest
  • Parasoft C ++ Test
  • コードセキュア化
  • VeraCode
  • コベリティ
  • ホワイトハットセンチネル

コードベースでCode Dxのバンドルツールを実行するには、ソースコード(C、C ++、C#、Java、JavaScript、JSP、PHP、Python、Rails、Ruby、Scala、VB.NET、およびXML / XSL)のzipファイルをアップロードします。Code Dx Enterpriseは、通常XML形式のサポートされているツールからエクスポートされたファイルを受け入れます。Enterpriseは、いくつかのサードパーティの商用ツールからの結果データの直接インポートもサポートしています。サポートされていないツールまたはカスタムツールの場合、Code Dxは、調査結果を文書化されたCode Dx XML形式に変換してアップロードするオプションを提供します。

弊社のエンジニアリングチームは、複数の静的ソースコード分析ツールの完全な分析を実施して、脆弱性の分類方法と提示方法を決定しました。各ツールには、見つかった脆弱性と脆弱性の重大度を表すさまざまな方法があります。たとえば、1は「重度」を意味する1〜10のスケールを使用するツールもあります。5は「重度」を意味する1〜5のスケールを使用するツールもあります。 「クリティカル」。CodeDxは、これらのツールのすべての重大度カテゴリを比較し、重大度を「クリティカル」、「高」、「中」、「低」、「情報」の各カテゴリに正規化してマッピングします。

Code Dxには、トリアージリスト内の特定の脆弱性をクリックすることによるドリルイン機能があります。これにより、ユーザーは詳細な脆弱性分析ページに移動し、脆弱性の影響を受ける特定のコード行が表示されます。また、指定されたコード行で見つかったその他の弱点を表示し、弱点の詳細な説明(CWEVis.orgおよびさまざまなMITER CWEフレンドリーWebサイトを通じて)、および仲間のアナリスト、監査員とのリアルタイムコラボレーションのメカニズムを提供します。開発者は、特定の弱点を修正するためにユーザーがコードを更新するのを支援する努力をしています。

はい。フィルタを検出結果のリストに適用して、最後の分析以降の「新しい」検出結果のみを表示できます。また、フィルターは、「ゴーン」フィルターを使用して修正された検出結果にも適用できます。これは、最新の分析では発生しなかった検出結果です。

ユーザーがトリアージプロセスを実行すると、ユーザーは特定の脆弱性が誤検知であると判断します。これは自動プロセスではありません。該当する場合、複数の検出結果を誤検知としてフラグするために実行できる一括操作があります。これらの一括操作は、トリアージプロセスの合理化に役立ちます。将来の分析実行で特定された検出結果がすでに誤検出として特定されている場合、新しい分析実行では自動的に誤検出としてマークされます。

Code Dxは現在、アジャイルソフトウェア開発チームが使用する一般的なソフトウェア開発の問題およびバグ追跡ツールであるJIRAと統合されています。

Code Dxは現在、Jenkinsの拡張可能なオープンソース継続的統合サーバーと統合されています。

現在、Code Dxは、HP Webinspect、IBM AppScan、Acunetix、Arachni、Burp Suite、Netsparker、OWASP ZAP、Veracode、およびWhiteHat Sentinel Dynamicのサポートを提供しています。

バンドルしたオープンソースツールは、Code Dxに含まれています。Code Dxのクラウド/ SASバージョンはありません。また、バンドルされたツールとバンドルしたツールもクラウドに存在しません。それらはすべてインストールにローカルです。インターネットにアクセスできる唯一のツール(利用可能な場合)は、NISTのNational Vulnerability Database(NVD)から最新のCVEを取得するDependency-Checkです。すべてのソースコードと分析結果は、管理下にあるネットワーク内に残ります。

Code Dxは現在、Open Web Application Security Project(OWASP)Top 10、CWE / SANS Top 25、Software Fault Patterns(SFP)、Seven Pernicious Kingdoms(7PK)、CERT Coding Standard、Web Application Security Consortium(WASC)をサポートしています。 、包括的、軽量アプリケーションセキュリティプロセス(CLASP)、防衛情報セキュリティ庁(DISA)セキュリティ技術情報ガイドライン(STIG)、健康保険の携行性と責任に関する法律(HIPAA)、およびペイメントカード業界データセキュリティ標準(PCI DSS(エンタープライズのみ) )。

はい。Code Dxには、脆弱なサードパーティコンポーネントの使用をチェックするための2つのバンドルスキャナーがあります。ソース/バイナリのzipをアップロードするだけで、Code Dxはそれを分析します。Java、.NETアプリケーション、Pythonアプリケーションの脆弱なサードパーティコンポーネントをチェックするDependency-Checkと、JQueryやAngularなどの脆弱なJavaScriptコンポーネントの使用をチェックするRetire.jsをバンドルしています。

弊社のWebサイトにアクセスしてCode Dxの評価をリクエストし、Enterpriseの評価に興味があることをお知らせください。エンタープライズ評価ライセンスキーを送信する前に連絡します。

Code Dxは現在、Gitバージョン管理システムと統合されています。Gitバージョン管理システムは、小規模プロジェクトから大規模プロジェクトまですべてを処理するように設計された無料のオープンソース分散システムです。ビルドサーバーにIBM ClearcaseやJenkinsなどのツールを使用している場合、JenkinsはClearcaseからソースコードを取得し、ビルドを実行して、結果をCode Dxに送信できます。

Code Dxは、独自のActive DirectoryまたはLDAPを使用できます。または、ローカルのCode Dxユーザーを作成することもできます。

IDEプラグインを使用すると、開発者はソース管理にコミットする前に、バンドルされているオープンソースツールを使用して、開発中にソースコードを分析できます。シングルクリックで、コードがCode Dxサーバーに送信され、バンドルされたツールが実行され、開発者はIDEで結果を確認します。これらの結果はチームの他のメンバーと共有されますが、開発者は必要に応じて、独自のサンドボックスのように動作する独自のCode Dxプロジェクトを作成できます。 IDE統合に関するブログ投稿を参照してください  。商用ツールの場合、これらの結果は引き続きIDE内に表示されますが、Code Dxから独立して実行する必要があります。

Enterpriseでは、カスタムツールからの結果をCode Dxに提供できます。サポートされていないツールの出力ファイルをコマンドCode Dxファイル形式に変換する必要があります。この例は評価で使用できます。疑問符のヘルプアイコンの右側にあるドロップダウンメニューの「Code Dx XMLスキーマと例」を参照してください。PMDなどのバンドルツールにルールを追加する場合、Code Dx EnterpriseはPMDの結果を取得するため、PMDを独自に実行すると、Code Dxは結果を読み取ることができます。カスタムルールは、ルール構成ページを含め、Code Dxに引き続き表示されます。