Contrast Scan

Contrast Scanは、脆弱性の検出と修復を容易にする静的アプリケーションセキュリティテスト(SAST)ツールです。 これは、アプリケーションの開発フェーズで使用できる便利なツールです。ライセンスをお持ちでSaaS版をご利用のお客様は、この機能をご利用いただけます。

アプリケーションをスキャンするには、アプリケーションのバイナリパッケージをContrastの環境にアップロードします。アプリケーションコードをアップロードしたら、スキャンが開始します。スキャンは、ソースコード内のデータフローを確認し、悪意のある攻撃を可能にする脆弱性を特定します。悪意のある攻撃の例としては、SQLインジェクション、コマンドインジェクション、サーバサイドインジェクションなどがあります。

スキャンの結果、カスタムコード内の脆弱性が特定されます。これらの問題を修正して、スキャンを再度実行すると、コードの変更によって脆弱性が無くなったことを確認できます。

オープンソースのコードとライブラリはスキャンの対象に含まれません。

Image shows the Scan workflow

機能

  • 複数のスキャン結果を追跡できるスキャングループの作成

  • スキャンの設定(スキャン名の変更)

  • スキャンの開始と停止

  • 検出された脆弱性の詳細情報の表示

  • スキャンの進行状況と履歴の照会

  • 脆弱性情報へのステータスの設定

  • CI/CDパイプラインへのスキャンの組み込み

  • 各脆弱性のリスクと修正方法に関する説明

サポートされる言語

Contrast Scanは、次の言語に対応しています。

  • Java(例:J2EE、JSP、Spring MVCなど)

    • バイナリファイルのみ