Skip to main content

ライブラリポリシーの設定

重要

ライセンスポリシーは、Contrast SCAをご利用のお客様のみが利用できます。Contrast SCAを有効にするには、組織の管理者にご連絡ください。

Contrastでは、組織の基準を満たさないライブラリにフラグが立てられるため、アプリケーションが安全であるかを確認できます。

ライブラリが制限されている、もしくは、特定のバージョンより古いものがアプリケーションで使用されている場合、Contrastではポリシー違反としてマークされます。また、Contrastのインターフェイスで"F"という文字を付けてポリシー違反のライブラリを自動的に評価付けすることもできます(管理者には、Contrast内とEメールの両方で違反が通知されます)。

注記

ライブラリのバージョンには、メジャーバージョン、マイナーバージョン、パッチバージョンが含まれます。

ライブラリポリシーを設定するには:

  1. ユーザメニューでポリシーの管理 > ライブラリポリシーを選択します。

  2. ライブラリを制限するチェックボックスをオンにして、ポートフォリオから除外するライブラリを選択します。ライブラリは複数選択できます。

  3. バージョン要件を有効化するチェックボックスをオンにして、指定したバージョン数の範囲内とする1つ以上のライブラリを選択します。

  4. 他の要件を追加のリンクをクリックすると、追加のライブラリのバージョン要件を作成できます。

  5. ライセンスを制限のチェックボックスをオンにして、制限するオープンソースライセンスにポリシーを設定します。オープンソースライセンスが制限されている場合、その制限されたライセンスを使用するライブラリはポリシー違反としてマークされます。

    ライセンスポリシーでは、オープンソースライブラリがSPDX形式で、識別子にフルネームが続く形式でリストされます。制限するライセンスの種類を選択する必要があります。ポートフォリオ内で認識される「以降」のライセンスも含まれます。例えば、GPL-3.0-onlyでライセンスを制限する場合、GPL-3.0以降のライセンスは全てその制限に含まれます。

  6. ポリシー違反のライブラリのチェックボックスをオンにすると、設定されたポリシーに違反するライブラリに対して、低いスコアが自動的に割り当てられます。

    設定されたポリシーに準拠していないライブラリは、ライブラリページで、名前と警告アイコンおよびライブラリスコアが赤色で強調表示されます。違反の詳細については、アイコンの上にカーソルを合わせるか、ライブラリの概要ページにアクセスしてください。

    ライブラリを自動的に低いスコアにするように選択した場合、スコア設定を調整すると、組織管理者に通知されます。