Contrast SCA
Contrast SCAは、ランタイム分析、ファイルシステムのスキャン、依存関係の解析によって、オープンソースコンポーネントを特定します。Contrast SCAではこれらの手法を活用し、正確なインベントリを報告します。
デフォルトで、Contrast Assessには優れたSCA機能が備わっています。SCAライセンスを取得すると、さらに高度なSCA機能を利用できます。
機能
SCA機能は、Contrastプラットフォームの一部として組み込まれています。プロセスを簡素化し、オープンソースの解析とカスタムコードの解析を統合するためです。Contrast SCAで実行できることは、以下のとおりです(一部の機能は無料ですが、その他にはSCAライセンスが必要です)。
オープンソースライセンスの管理:Contrast SCAによって、オープンソースコンポーネントに関連付けられたライセンス情報が表示されます。この情報により、知的財産のコンプライアンスを理解し、運用リスクを軽減できます。
この機能には、SCAライセンスが必要です。
オープンソースポリシーの設定:ポリシーを設定して、オープンソースライセンスの使用を制限することができます。使用を制限したライセンスがアプリケーションでデプロイされた場合、警告を発します。ライブラリの使用を安全に保つには、組織のコンプライアンスポリシーを設定します。特定のオープンソースライブラリやライセンスの使用を制限したり、バージョン要件を指定するには、ライブラリポリシーを設定します。
この機能には、SCAライセンスが必要です。
脆弱性(CVE)の特定:Contrast SCAは、アプリケーションが使用している各ライブラリの脆弱性(CVE)の情報を提供します。この情報には、ライブラリの各CVEの説明と、そのライブラリを使用しているアプリケーションの数などが含まれます。
この機能は、SCAライセンスがなくても利用できます。
CLI および依存関係ツリー:Contrast CLIは、アプリケーションに対してSCA(ソフトウェアコンポジション解析)を実行し、オープンソースライブラリ間の依存関係を、脆弱性が導入された場所を含めて表示します。
Contrast CLIで収集されるデータは依存関係ツリーを表示するために使用され、 ライブラリの依存関係を認識することができます。
この機能は、SCAライセンスがなくても利用できます。
GitHub Action:このインテグレーション機能を使用すると、プロジェクトの依存関係の脆弱性を解析できます。Contrast SCA Actionを実行することによって、脆弱なライブラリが検出されます。詳細は、Contrast SCA Actionを参照してください。
Contrastデータ
Contrastにライブラリの情報が報告されると、以下を利用できるようになります。
脆弱なコンポーネントが実際にアプリケーションで使用されているかを確認するためのライブラリの使用状況分析
使用されているライブラリのバージョンと最新バージョンの情報
ライブラリで検出されている脆弱性の情報
ポートフォリオ全体で、オープンソースコンポーネントをリアルタイムに報告