ライブラリ
アプリケーションで使用されるライブラリのセキュリティは、アプリケーション全体のセキュリティに影響を及ぼします。
ライブラリには、公開または内製のものがあります。公開ライブラリは、AからFのスコアが付けられ、Maven(Java)、NuGet(.NET)、npm(Node.js)、RubyGems(Ruby)、PyPI(Python)、pkg.go(Go)、Composer(PHP)をソースとするオープンソースのライブラリです。内製のライブラリは、サードパーティ製の商用ライブラリや独自に作成されたカスタムライブラリです。 内製のライブラリは、Contrastでスコア付けされません。
Contrastエージェントは、アプリケーションに含まれるオープンソースライブラリを自動的に識別します。ライブラリで検出された脆弱性を特定し、ライブラリがランタイムで使用されているかどうかも確認します。
そのため、Contrastでライブラリファイルのハッシュ値が作成されます。このハッシュ値を使用して、ファイルの内容が既知のライブラリファイルのデータベースと比較されます。データベースにハッシュがある場合は、ライブラリにスコアが割り当てられ、ライブラリのバージョン情報やライブラリで検出された全ての脆弱性情報(CVE)がContrastサーバに報告されます。
注記
ライブラリがカスタムファイルの場合、ハッシュがデータベースに無いため、このライブラリはContrastエージェントによって「不明(Unknown)」として報告されます。これは、最新のライブラリがリリースされたタイミングや、Contrast EOP(オンプレミス版)をエアギャップ環境で利用中でライブラリデータの更新をしていない場合にも発生することがあります。
Javaクライアントの場合、WebSphereでは実行時にライブラリが再パッケージ化されるため、SHA-1ハッシュがContrastで認識されるものとは異なります。デプロイ時にSHA-1を保持するには、JVMシステムプロパティorg.eclipse.jst.j2ee.commonarchivecore.ignore.web.fragmentを"true"に設定します。
また、全てのwsadminの呼出しに同じパラメータが必要になります。
wsadmin -javaoption "-Dorg.eclipse.jst.j2ee.commonarchivecore.ignore.web.fragment=true"
Contrast Webインターフェイスのナビゲーションバーでライブラリを選択すると、ポートフォリオ内の全てのライブラリの概要を参照でき、ライブラリを一括管理できます。
Contrast CLIで解析したマニフェスト(package.jsonやpom.xmlなど)やスキャンを行ったリポジトリの結果も表示できます。