スキャン結果の分析

スキャンは、アプリケーション内のデータフローを観察し、検出した脆弱性を報告します。

結果を調査した後、アプリケーションのコードを修正して再度スキャンを実行し、脆弱性が修正されているか確認します。

手順

スキャン完了後の脆弱性の情報を確認するには:

  1. Contrast Webインターフェイスのナビゲーションバーでスキャンを選択します。

    スキャンのページでは、スキャンプロジェクトの一覧が表示されます。

  2. 検出された脆弱性の一覧とその深刻度を表示するには:

    1. スキャンプロジェクトを選択します。

    2. 概要タブで脆弱性の数をクリックするか、脆弱性タブを選択します。

      This image shows how to select vulnerabilities

      また、特定のステータスの脆弱性を表示するには、ステータスにある脆弱性の棒グラフで該当部分をクリックします。

      This images shows how to select vulnerabilities with a specific status
  3. 脆弱性タブで、脆弱性をステータスや深刻度でソートするには、ステータスまたは深刻度の列の横にあるフィルタアイコン(filterIcon.png )を選択し、1つまたは複数の項目を選択します。

    深刻度のフィルタ:

    scanSeverityFilter.png

    ステータスのフィルタ:

    scanStatusFilter.png

    フィルタをクリアするには、深刻度またはステータス列の横にあるクリアを選択します。

  4. 特定の脆弱性に関する詳細情報を表示するには、脆弱性タブで該当の脆弱性を選択します。

    • 選択した脆弱性の概要タブには、アプリケーションコードで発生した内容や脆弱性に関するリスクなど、脆弱性の説明が表示されます。

  5. 脆弱性の詳細やアプリケーションコード内での脆弱性の場所を参照するには、詳細タブを選択すると次の情報が表示されます。

    • 脆弱性が存在するメソッド

    • スキャンによって脆弱性が検出されたファイル

    • スキャンによって脆弱性が検出されたアプリケーションコードの最初の行

  6. コードの修正方法を参照するには、修正方法タブを選択します。

  7. 脆弱性に関するその他の詳細情報は、備考タブを選択すると、次のような情報が表示されます。

    • 脆弱性の検出時間

    • 脆弱性が検出されたコードモジュール

    • 脆弱性の種類(インジェクションなど)

    • 深刻度

    • リスクの信頼性

    • 脆弱性に適用されるセキュリティ基準

  8. 脆弱性のステータスを変更するには、ステータス列で現在のステータスを選択し、変更したい脆弱性のステータスを選択します。