Contrast Assess

Contrast Assessは、静的アプリケーションセキュリティテスト(SAST)、動的アプリケーションセキュリティテスト(DAST)、インタラクティブアプリケーションセキュリティテスト(IAST)のアプローチを組み合わせた、アプリケーションセキュリティのテストツールです。アプリケーションの脆弱性に関して、極めて正確な情報を継続的に得ることができます。

This image shows the Assess workflow

Contrast Assessはエージェントを使用して、アプリケーションにセンサーを配置します。このセンサーがデータフローをリアルタイムで監視し、アプリケーションを内部から解析し、以下のような様々なデータソースから脆弱性を特定するために機能します。

  • ライブラリ、フレームワーク、カスタムコード

  • 設定情報

  • ランタイムの制御フローやデータフロー

  • HTTPリクエストとレスポンス

  • バックエンドの接続状況

Contrast Assessは、テストサーバ、QAサーバ、ステージングサーバなど、開発環境や試験環境に適しています。また、開発者のワークステーションにも適用できます。Visual StudioなどでContrastとのインテグレーションを利用することで、開発者は利用中の統合開発環境(IDE)から脆弱性を検出し、修正に対応できます。

機能

エージェントをインストールして設定し、Contrast Assessを有効にしたら、次の機能を利用できるようになります。

カスタマイズ

以下のポリシーの設定を変更する事で、特定の要件に合わせてAssessをカスタマイズできます。

  • Assessルール:特定の種類の脆弱性を検出するルールを有効または無効にでき、Contrast Assessの検出機能を調整できます。

  • セキュリティ制御:コード内でデータを安全に使用するためのメソッドを設定します。