Skip to main content

Contrast SCA

Contrastのソフトウェア構成解析(SCA)は、ランタイム解析、ファイルシステムスキャン、依存性解析により、オープンソースコンポーネントを特定します。これらの技術を活用して、Contrast SCAは正確なインベントリを報告します。

The security of the libraries that an application uses affects the overall security of your application.

Libraries can be public or private. Public libraries are open-source libraries sourced from Maven (Java), NuGet (.NET), npm (Node.js), RubyGems (Ruby), PyPI (Python), pkg.go (Go), and Composer (PHP). Private libraries are commercial third-party libraries or custom-built libraries.

Contrastエージェントは、アプリケーションに含まれるオープンソースライブラリを自動的に識別します。ライブラリで検出された脆弱性を特定し、ライブラリがランタイムで使用されているかどうかも確認します。

To do this, Contrast creates a hash of the library file, which compares the file's content to a database of known library files. If the hash is in the database, Contrast can provide library version information and report on the total vulnerabilities (CVEs) found in the library.

注記

ライブラリがカスタムファイルの場合、ハッシュがデータベースに無いため、このライブラリはContrastエージェントによって「不明(Unknown)」として報告されます。これは、最新のライブラリがリリースされたタイミングや、Contrast EOP(オンプレミス版)をエアギャップ環境で利用中でライブラリデータの更新をしていない場合にも発生することがあります。

Javaクライアントの場合、WebSphereでは実行時にライブラリが再パッケージ化されるため、SHA-1ハッシュがContrastで認識されるものとは異なります。デプロイ時にSHA-1を保持するには、JVMシステムプロパティorg.eclipse.jst.j2ee.commonarchivecore.ignore.web.fragmentを"true"に設定します。

また、全てのwsadminの呼出しに同じパラメータが必要になります。

wsadmin -javaoption "-Dorg.eclipse.jst.j2ee.commonarchivecore.ignore.web.fragment=true"

機能

SCA機能は、Contrastプラットフォームの一部として組み込まれています。プロセスを簡素化し、オープンソースの解析とカスタムコードの解析を統合するためです。Contrast SCAで実行できることは、以下のとおりです(一部の機能は無料ですが、その他にはSCAライセンスが必要です)。

  • オープンソースライセンスの管理:Contrast SCAによって、オープンソースコンポーネントに関連付けられたライセンス情報が表示されます。この情報により、知的財産のコンプライアンスを理解し、運用リスクを軽減できます。

  • オープンソースポリシーの設定:ポリシーを設定して、オープンソースライセンスの使用を制限することができます。使用を制限したライセンスがアプリケーションでデプロイされた場合、警告を発します。ライブラリの使用を安全に保つには、組織のコンプライアンスポリシーを設定します。特定のオープンソースライブラリやライセンスの使用を制限したり、バージョン要件を指定するには、ライブラリポリシーを設定します。

  • Open-source policy: With SCA, you can set policies to denylist open-source licenses. If a denylisted license type is deployed in your applications, it triggers an alert. To keep your library usage safe, set compliance policies for your organization.  To restrict use of specific open-source libraries and licenses, as well as set version requirements, you can set library policies.

  • 脆弱性(CVE)の特定:Contrast SCAは、アプリケーションが使用している各ライブラリの脆弱性(CVE)の情報を提供します。この情報には、ライブラリの各CVEの説明と、そのライブラリを使用しているアプリケーションの数などが含まれます。

    この機能は、SCAライセンスがなくても利用できます。

  • CLI および依存関係ツリー:Contrast CLIは、アプリケーションに対してSCA(ソフトウェアコンポジション解析)を実行し、オープンソースライブラリ間の依存関係を、脆弱性が導入された場所を含めて表示します。

  • GitHub Action:このインテグレーション機能を使用すると、プロジェクトの依存関係の脆弱性を解析できます。Contrast SCA Actionを実行することによって、脆弱なライブラリが検出されます。詳細は、Contrast SCA Actionを参照してください。

Contrastデータ

Contrastにライブラリの情報が報告されると、以下を利用できるようになります。

  • 脆弱なコンポーネントが実際にアプリケーションで使用されているかを確認するためのライブラリの使用状況分析

  • 使用されているライブラリのバージョンと最新バージョンの情報

  • ライブラリで検出されている脆弱性の情報

See also

Explorer

View issues

View observations

View observation details

このセクションの内容: