Contrast SCA
Contrast SCAは、ランタイムの検査、ファイルシステムのスキャン、依存関係の解析によって、オープンソースコンポーネントを特定します。これらの技術を活用して、Contrast SCAは正確なインベントリを報告します。
Contrast Assessには、デフォルトで優れたSCA機能が備わっていますが、SCAライセンスを取得すると、さらに高度なSCA機能を利用できます。
機能
SCA機能は、Contrastプラットフォームの一部として組み込まれています。プロセスを簡素化し、オープンソースの解析とカスタムコードの解析を統合するためです。Contrast SCAで実行できることは、以下のとおりです(一部の機能は無料ですが、その他にはSCAライセンスが必要です)。
オープンソースライセンスの管理:Contrast SCAによって、オープンソースコンポーネントに関連付けられたライセンス情報が表示されます。この情報により、知的財産のコンプライアンスを理解し、運用リスクを軽減できます。
この機能には、SCAライセンスが必要です。
オープンソースポリシーの設定:ポリシーを設定して、オープンソースライセンスの使用を制限することができます。使用を制限したライセンスがアプリケーションでデプロイされた場合、警告を発します。ライブラリの使用を安全に保つには、組織のコンプライアンスポリシーを設定します。特定のオープンソースライブラリやライセンスの使用を制限したり、バージョン要件を指定するには、ライブラリポリシーを設定します。
この機能には、SCAライセンスが必要です。
脆弱性(CVE)の特定:Contrast SCAは、アプリケーションが使用している各ライブラリの脆弱性(CVE)の情報を提供します。この情報には、ライブラリの各CVEの説明と、そのライブラリを使用しているアプリケーションの数などが含まれます。
この機能は、SCAライセンスがなくても利用できます。
CLI および依存関係ツリー:Contrast CLIは、アプリケーションに対してSCA(ソフトウェアコンポジション解析)を実行し、オープンソースライブラリ間の依存関係を、脆弱性が導入された場所を含めて表示します。
Contrast CLIで収集されるデータは依存関係ツリーを表示するために使用され、 ライブラリの依存関係を認識することができます。
この機能は、SCAライセンスがなくても利用できます。
GitHub Action:このインテグレーション機能を使用すると、プロジェクトの依存関係の脆弱性を解析できます。Contrast SCA Actionを実行することによって、脆弱なライブラリが検出されます。詳細は、Contrast SCA Actionを参照してください。
リポジトリのスキャン :Contrastにリポジトリを接続して、脆弱性をスキャンすることができます。
Contrastデータ
Contrastにライブラリの情報が報告されると、以下を利用できるようになります。
脆弱なコンポーネントが実際にアプリケーションで使用されているかを確認するためのライブラリの使用状況分析
使用されているライブラリのバージョンと最新バージョンの情報
ライブラリで検出されている脆弱性の情報
ポートフォリオ全体で、オープンソースコンポーネントをリアルタイムに報告
静的SCA
2024年6月現在、静的SCAはオプトイン機能となり、この機能を使用するには有効に設定する必要があります。Contrastは、報告されたバグを修正することで、既存のユーザをサポートします。