静的タブと実行時タブ
Contrastでのライブラリ情報は、2つのタブに分かれます。
静的: Contrast CLIで解析されたマニフェスト(package.jsonや pom.xmlなど)からの検出結果が表示されます。
実行時: 実行時に解析されたアプリケーションの検出結果が表示されます。
ライブラリの各列の詳細:
スコア: 「実行時」タブでのみ表示されます。スコアガイドに基づいて評価されたライブラリのスコアがレターグレードで表示されます。
深刻度: 「静的」タブでのみ表示されます。ここには、各ライブラリに存在するすべての脆弱性(CVE)で最も重大な深刻度が表示されます。フィルタを使用して、深刻度に基づいてライブラリを検索できます。なお、フィルタの上記以外オプションは、最も重大な深刻度が無し(CVSSスコアが0)で、CVEが無く、かつ内製か未知のライブラリであるものが検索されます。
ライブラリ:ライブラリ名が表示されます。
一覧からライブラリ名を選択すると、ライブラリの詳細パネルが開きます。パネルには以下が表示されます:
検出結果の概要(「実行時」タブでのみ表示)
検出された脆弱性の修正方法:
脆弱性が解消されたバージョン:現在使用中のライブラリと比較して、脆弱性の少ないライブラリのバージョン。
ご利用の環境で、最新の安定バージョンへのアップグレードが現実的または効率的でない場合に、このバージョンを使用してください。
最新の安定バージョン:現在使用中のライブラリと比較して、脆弱性が最も少ない、最新の安定バージョン。
ライブラリ内でContrastが検出した既知の脆弱性(CVE)の一覧と、ライブラリが存在するアプリケーションやサーバの一覧。
脆弱性の悪用可能性を0から1(0%から100%)までの確率で表すEPSS(Exploit Prediction Scoring System)の計算。スコアが高いほど、脆弱性が今後30日以内に悪用される確率が高いことを示します。
最新バージョン: ライブラリの最新バージョン。
注記
.NETのライブラリに関して:最新バージョンの値は、パッケージのアップグレードが可能な推奨バージョンに関連しています。ライブラリのバージョンとハッシュは、Contrastエージェントが検出したファイルによって決定されます。ハッシュはライブラリファイルのバージョンを表し、最新バージョンに表示されるアップグレードバージョンは、パッケージのバージョンを表します。
脆弱性(CVE): ライブラリで検出されたCVEの情報。修復時の優先順位付けの目安となります。脆弱性の棒グラフにカーソルを合わせると深刻度が表示され、深刻度別のCVE数を確認できます。棒グラフをクリックすると、詳細パネルが開きます。
詳細パネルには、脆弱性が存在する場合は、一覧として表示され深刻度別に色分けされます。深刻度が重大な脆弱性が、一覧の先頭に表示され、赤色で表示されます。
アプリケーション: 「実行時」タブでのみ表示されます。ライブラリを使用しているアプリケーションの一覧。
使用状況: 「実行時」タブでのみ表示されます。ライブラリ内のクラスの総数のうち、実行時に使用されているクラスの総数が表示されます。実行時に使用されているクラスがない場合は、この列には「使用されていません」と表示されます。アプリケーションでクラスがロードされる時に、Contrastエージェントから使用状況が報告されます。そのクラスが以前に使用されたことがなければ、使用数が減ります。数字をクリックすると、ライブラリの使用状況を確認できます。ライブラリに関連するリスクやポリシー違反だけでなく、使用されているクラスの情報も確認することができます。
処理: 「実行時」タブでのみ表示されます。ここで、ライブラリに タグを付けたり、ライブラリの 送信や 削除を行うことができます。
ステータス: 「実行時」タブでのみ表示されます。ステータスを変更するには組織のEditロールが最低限必要です (ステータス列が表示されていない場合は、弊社サポートに連絡して、この列を有効にするよう依頼してください)。アプリケーション > アプリケーション名 > ライブラリタブにアクセスすると参照できます。表示/適用できるステータスには、3種類あります。
プロジェクト: 「静的」タブでのみ表示されます。ライブラリを使用しているプロジェクトが一覧表示されます。