Contrast OSS

Contrast OSSは、ランタイム分析、ファイルシステムのスキャン、依存関係の解析によって、オープンソースコンポーネントを特定します。Contrast OSSはこれらの手法を活用し、正確なインベントリを報告します。

デフォルトでは、Contrast Assessに強力なOSS機能が含まれています。OSSライセンスを取得すると、さらに高度なOSS機能を利用できます。

This image shows the OSS workflow

機能

OSS機能は、Contrastプラットフォームの一部として組み込まれています。プロセスを簡素化し、オープンソースの解析とカスタムコードの解析を統合するためです。Contrast OSSで実行できることは、以下のとおりです(一部の機能は無料ですが、その他にはOSSライセンスが必要です)。

  • オープンソースライセンスの管理:Contrast OSSによって、オープンソースコンポーネントに関連付けられたライセンス情報が提供されます。この情報により、知的財産のコンプライアンスを理解し、運用リスクを軽減できます。

    この機能には、OSSライセンスが必要です。

  • オープンソースポリシーの設定:ポリシーを設定して、オープンソースライセンスの使用を制限することができます。使用を制限したライセンスがアプリケーションでデプロイされた場合、警告を発します。ライブラリの使用を安全に保つには、組織のコンプライアンスポリシーを設定します。特定のオープンソースライブラリやライセンスの使用を制限したり、バージョン要件を指定するには、ライブラリポリシーを設定します。

    この機能には、OSSライセンスが必要です。

  • CVEの脆弱性の特定:Contrast OSSは、アプリケーションが使用している各ライブラリのCVEの脆弱性の情報を提供します。この情報には、ライブラリの各CVEの脆弱性の説明と、そのライブラリを使用しているアプリケーションの数などが含まれます。

    この機能は、OSSライセンスがなくても利用できます。

  • CLIおよび依存関係ツリー:Contrastコマンドラインインターフェイス(CLI)によって、開発の初期段階でソースコードのテストが可能になります。Contrast CLIで収集されたデータは依存関係ツリーを表示するために使用され、根底にあるライブラリの依存関係を認識することができます。

    この機能は、OSSライセンスがなくても利用できます。

Contrastデータ

Contrastにライブラリの情報が報告されると、以下を利用できるようになります。

  • 脆弱なコンポーネントが実際にアプリケーションで使用されているかを確認するためのライブラリの使用状況分析

  • 使用されているライブラリのバージョンと最新バージョンの情報

  • ライブラリで検出されている脆弱性の情報

  • ポートフォリオ全体で、オープンソースコンポーネントをリアルタイムに報告