Skip to main content

OWASPトップ10のみのルールポリシーを作成する

OWASPトップ10ポリシーを作成すると、ソースコードの解析をOWASPトップ10に基づく検出結果のみに絞ることができます。このポリシーをスキャン対象のリポジトリやディレクトリのルートに保存すると、OWASPトップ10リストににリンクされているルール以外の全てのルールが無効になります。

ベストプラクティス:このポリシーは新しいスキャンプロジェクトでのみ使用してください。既存のプロジェクトでこのポリシーを使用すると、Contrast Scanによって既存の検出結果の一部が「修復済み」のステータスに変更される場合があり、その結果、未解決の脆弱性が大きく変化する可能性があります。

特定のスキャンで除外されたファイルとルールを確認する方法については、スキャン情報の表示を参照して下さい。

手順

  1. contrastsec.checks.configという名前のテキストファイルを作成し、スキャンするプロジェクトのルートに配置します。

  2. OWASPトップ10ルールのみのコードをコピーし、ファイルに追加します。

  3. スキャンを実行します。

関連項目

カスタムスキャンルールの例外を作成する にて、スキャンで使用するルールを大幅に変更する方法の例を示しています。このように設定することで、広範なルールセットによって発生する可能性のあるノイズや過検知を低減できます。

このセクションの内容: