コンプライアンス対応レポート
The Attestation report provides a detailed point-in-time snapshot of an application's security posture. This report includes information about the application's composition, configuration, and all open vulnerabilities, serving as a formal attestation of its security status. All attestation reports are delivered as time-stamped PDFs that are downloaded locally. You can generate an attestation report for a single application or for a group of applications.
2023年11月7日以降、本レポートが旧来のセキュリティ基準レポートに代わるものとなります。コンプライアンス対応レポートは、セキュリティ基準レポートと同様の情報を提供します。コンプライアンス要件への対応や緊急な対策が必要な箇所を特定するのに役立ちます。
注記
このレポートは作成してから7日後に期限切れになります。この期限が切れるとレポートはContrastサーバから削除されます。
コンプライアンス対応レポートには、以下の情報が含まれます。
レポート作成時に使用したフィルタの設定項目の一覧
アプリケーションのセキュリティ対応状況の概要
カスタムコードおよびオープンソースライブラリに対する脆弱性の評価。既存の組織でCVSS 3.1が有効になっていない場合、オープンソースの脆弱性に重大(critical)の深刻度は表示されないことに注意してください。これを有効にするには、サポートにお問い合わせください。
セキュリティ評価の指標としてのルートカバレッジ
セキュリティ基準の評価(オプション)、アプリケーションでオープン中の脆弱性の詳細情報(オプション)
評価方法や用語を説明する付録
開始する前に
コンプライアンス対応レポートには、以下の制限があります。
1,350件の脆弱性(詳細を含める場合)
18,000件の脆弱性(詳細を含めない場合)
15,000ルート(観測情報を含める場合)
30,000ルート(観測情報を含めない場合)
レポートが上記の制限を超えると、エラーメッセージが表示され、レポートは生成されません。その場合は、レポートの選択項目を変更して、レポートの情報量を減らしてください。
コンプライアンス対応レポートの作成手順
To generate a report for an individual application, navigate to the application's overview page and select the option to create an attestation report from the reports menu. The generated PDF will contain detailed findings specific to that application.
Contrast Webインターフェイスのナビゲーションバーでアプリケーションを選択します。
アプリケーションの一覧からアプリケーション名をクリックします。
アプリケーションページの右上にあるレポートアイコン(
)をクリックします。ドロップダウンで、コンプライアンス対応レポートを生成を選択します。
ドロップダウンで、コンプライアンス対応レポートを生成を選択します。
The default is to show all vulnerabilities and environments, but you can filter them by selecting the fields and then selecting filters. Choose an option from Security Standards to include an additional Security Standards section in the generated report.
Optionally, you can choose to include detailed information about open vulnerabilities and observed routes.
The following table includes the categories that you can use to create a custom report.
カテゴリ
デフォルト
フィルターオプション
脆弱性
全て
ステータス(報告済、疑わしい、確認済、問題無し、修復済、修正完了、修復済 - 自動検証)
深刻度(注意、低、中、高、重大)
Assessルール
脆弱性の詳細
含めない
脆弱性の詳細を含めるにはチェックボックスを選択
ルートの観測情報
含めない
ルートの観測情報を含めるにはチェックボックスを選択
環境
全て
開発環境
QA
本番環境
セキュリティ基準
指定なし
DISA ASD STIG
IPA - 7.0
OWASP 2013 Top 10
OWASP 2017 Top 10
OWASP 2021 Top 10
OWASP Top10 API脆弱性 2019
PCI DSS - 2.0
PCI DSS - 3.0
PCI DSS - 3.2.1
PCI DSS - 4.0
作成を選択します。
Contrastでレポートが生成されると、通知パネルにダウンロードリンクが表示されます。
リンクを選択すると、レポートをダウンロードできます。
Steps to generate an Attestation report for multiple applications
To provide a portfolio-level view, you can now generate a single attestation report that covers multiple applications without needing to merge them.
Select Applications in the header.
Select the application rows in the Applications grid.
Select the Reports icon (
) located at the top-right of the page.Select Generate Attestation Report from the list.
「コンプライアンス対応レポート」の画面で、レポートに含める脆弱性、環境およびオプションでセキュリティ基準を選択します。
Category
Default
Filter options
Application List
All
The page that lists every application included in the report.
Table of Contents
All
Includes dynamic links to the detailed section for each application within the report.
Application Rating Widget
All
The table that displays the individual security rating (A-F) for each application in the group.
Application Rating Distribution
All
A bar chart that visualizes the distribution of application ratings across the entire group.
Vulnerability Distribution
All
This widget shows an aggregated count of all vulnerabilities by severity (Critical, High, etc.) across all selected applications.
作成を選択します。
After Contrast generates the report, the Notifications panel displays a download link for it.
Select the link to download the report.