コンプライアンス対応レポート

コンプライアンス対応レポートは、脆弱性に対応したことを証明するもので、アプリケーションの最新の情報に基づいてPDF形式で作成されます。このPDFレポートによって、コンプライアンスや監査要件に対応できます。

注記

このレポートは作成してから7日後に期限切れになります。この期限が切れるとレポートはContrastサーバから削除されます。

コンプライアンス対応レポートには、以下の情報が含まれます。

  • レポート作成時に使用したフィルタの設定項目の一覧

  • アプリケーションのセキュリティ対応状況の概要

  • カスタムコードおよびオープンソースライブラリに対する脆弱性の評価。既存の組織でCVSS 3.1が有効になっていない場合、オープンソースの脆弱性に重大(critical)の深刻度は表示されないことに注意してください。これを有効にするには、サポートにお問い合わせください。

  • セキュリティ評価の指標としてのルートカバレッジ

  • セキュリティ基準の評価(オプション)、アプリケーションでオープン中の脆弱性の詳細情報(オプション)

  • 評価方法や用語を説明する付録

コンプライアンス対応レポートを作成するには:

  1. Contrast Webインターフェイスのナビゲーションバーでアプリケーションを選択します。

  2. アプリケーションの一覧からアプリケーション名をクリックします。

  3. アプリケーションのページの右上にあるレポートアイコンicon-reports.svgをクリックします。

  4. ドロップダウンで、コンプライアンス対応レポートを生成を選択します。

  5. 表示される画面で、レポートに含める脆弱性環境およびオプションでセキュリティ基準を選択します。

    デフォルトで、すべての脆弱性と環境が選択されていますが、フィールドをクリックして選択項目を絞り込むことができます。作成するレポートにセキュリティ基準のセクションを含める場合は、セキュリティ基準からオプションを選択します。オプションで、オープン中の脆弱性の詳細情報を含めるかを選択できます。

    次の表は、コンプライアンスレポートの作成時に指定できるカテゴリの概要です。

    フィールド

    デフォルト

    フィルターオプション

    脆弱性

    全て

    • ステータス(報告済、疑わしい、確認済、問題無し、修復済、修正完了、修復済 - 自動検証)

    • 深刻度(注意、低、中、高、重大)

    • Assessルール

    脆弱性の詳細

    含めない

    脆弱性の詳細を含める

    環境

    全て

    • 開発環境

    • QA 環境

    • 本番環境

    セキュリティ基準

    指定なし

    • DISA ASD STIG

    • IPA - 7.0

    • OWASP 2013 Top 10

    • OWASP 2017 Top 10

    • OWASP 2021 Top 10

    • OWASP Top10 API脆弱性 2019

    • PCI DSS - 2.0

    • PCI DSS - 3.0

    • PCI DSS - 3.2.1

  6. 作成を選択します。

    レポートが作成されると、通知パネルにダウンロードリンクが表示されます。

    アプリケーションに16,000件以上の脆弱性がある場合、レポートは作成されません。この場合、アプリケーションが16,000の脆弱性の制限を超えていることを示すエラーメッセージが表示されます。

  7. リンクをクリックして、PDFをダウンロードしてください。