スキャン
Contrast Scanは、静的アプリケーションセキュリティテスト(SAST)ツールで、コードをすぐにスキャンして、開発の初期段階で脆弱性を特定できます。
スキャンには以下の種類があります。
SaaS版またはCLI:このタイプのスキャンは、Contrastプラットフォームにコードをアップロードできる場合に使用します。スキャンを開始するには、Contrast WebインターフェイスまたはContrast CLIを使用します。
このタイプのスキャンは、Javaバイナリスキャンおよびソースコードスキャンに対応しています。
Contrast Scanローカルエンジン:このタイプのスキャンは、ローカルシステム上のアーティファクトに対して使用します。Contrastに結果は報告されますが、ローカルコードがアップロードされることはありません。ローカルエンジンを使用するには、Contrastサポートにリクエストしてください。
Contrast Scanローカルエンジンは、Javaバイナリスキャンおよびソースコードスキャンに対応しています。
スキャン用に送信されたコードの種類に応じて、Contrast Scanで次のいずれかのスキャンエンジンが使用されます。
Javaバイナリ: JavaのJARファイルやWARファイルをスキャンできます。
Javaバイナリスキャンでは、Webアプリケーション(HTTPトラフィックを処理するアプリケーション)のみをサポートします。
Javaバイナリスキャンでは、ソースコードスキャンよりも対象が絞られます。このスキャンでは、信頼できないソースから取得されたデータが検索されます。ユーザ入力のような信頼できないソースから派生して、サニタイズされずにSQL文のような危険なシンクに到達するデータなどです。セキュリティに関係のないコードについては報告されません。このスキャンでは、スキャンポリシー (例えば、コードに危険な潜在的なシンク呼び出しが含まれているか、呼び出しやエントリポイントから信頼できないデータがアプリケーションに侵入している、など) を使用して、セキュリティに関連するコードが検出されます。
ソースコード: ほとんどの言語のアーティファクトをスキャンできます。
ソースコードスキャンでは、Javaバイナリスキャンよりも広い範囲に焦点が当てられます。ルールセットに基づいて、潜在的な脆弱性がないかコードが検索されます。結果は通常、Javaバイナリスキャンよりも精度が低くなります。
スキャンの操作
Contrast Scanでは、次のことができます。