Skip to main content

アプリケーションの脆弱性の表示

アプリケーションページのアプリケーション一覧から、特定のアプリケーションの脆弱性を表示できます。

開始する前に
  • Contrastで脆弱な箇所を検出して結果を表示できるよう、アプリケーションを疎通(閲覧や操作)します。

  • より詳細な脆弱性情報を参照したい場合は、セッションメタデータを報告するようにContrastエージェントを設定します。

手順
  1. Contrast Webインターフェイスのナビゲーションバーでアプリケーションを選択します。

    アプリケーションの一覧には、各アプリケーションでオープン中の脆弱性の数が表示されます。特定の種類(重大、高など)の脆弱性に関する情報を表示するには、「オープン中の脆弱性」の列にある棒グラフで該当する箇所を選択します。

    OpenVulnBar.png

    オープン中の脆弱性とは、ステータスが報告済、疑わしい、確認済のものです。

  2. あるいは、アプリケーションの一覧でアプリケーション名を選択して、脆弱性タブを選択します。選択したアプリケーションの脆弱性の一覧が表示されます。

  3. 脆弱性タブで脆弱性にフィルタをかけるには、一覧の最上部にある小さい三角形を選択します。

    VulnAppMainFilter.png

    利用できるフィルタ:

    • オープン中

    • 信頼性の高い問題

    • ポリシー違反

    • レビュー待ち

  4. 特定の脆弱性を検索するには、虫眼鏡アイコン( MagnifiyingGlassIcon.png)を選択します。

  5. 一覧の上部にある傾向線のマーク( icon-stats.svg)を選択すると、脆弱性のタイムラインが表示されます。

    グラフの上のボタンを使用すると、深刻度(Severity)または検出(Discovery)別にデータの表示が切り替わります。グラフの傾向線にカーソルを合わせると、その時点でのデータの内訳(脆弱性の数、タイムスタンプまたはステータス)が表示されます。

    脆弱性一覧のフィルタを適用すると、グラフのデータも更新されます。最後の検出の列のフィルタを使用すると、タイムラインに表示される期間が更新されます。

  6. 列でフィルタをかけるには、列のヘッダの横にあるフィルタアイコンicon-filter.svgを選択します。フィルタには以下がありますが、選択したアプリケーションに適用可能な場合に利用できます。

    • 深刻度:利用可能なフィルタは、重大、高、中、低、注意です。

    • 脆弱性:選択したアプリケーションで適用可能な場合、利用可能なフィルタは以下の通りです。

      • 脆弱性のタグ:脆弱性に割り当てたカスタムタグ。

      • バグ管理システム:バグ管理システムとの連携を利用して、脆弱性を追跡しているかどうか。

      • 種類:脆弱性の種類。

      • モジュール:脆弱性に関連するアプリケーションモジュール(マージされたアプリケーションのモジュールも含む)。

      • サーバ:アプリケーションをホストしているサーバ。

      • 環境:開発環境、QA環境、本番環境。

      • シンク:共通のシンクに起因する脆弱性。

        シンクは、複数のデータフローの脆弱性間で共有されているカスタムコードです。

        シンクでフィルタをかけることで、複数の脆弱性の原因となっているコード行を特定することができます。

      • URL:特定のURLに関連する脆弱性。

      • コンプライアンスポリシー:選択したコンプライアンスポリシーに関連する脆弱性。

      • ルート:選択したルートに関連する脆弱性。

    • アプリケーション:アプリケーションに含まれるモジュール。

      マージされていないアプリケーションを参照している場合は、選択したアプリケーションの脆弱性がこのフィルタによって表示されます。

      マージされたアプリケーションの脆弱性を参照している場合は、マージされたアプリケーションのモジュールの脆弱性がこのフィルタによって表示されます。

    • 最後の検出:利用可能なフィルタは、最初の検出、最後の検出、時間範囲です。 特定の日付と時刻を指定する場合は、カスタムを選択します。

    • ステータス:利用可能なフィルタは、ステータスおよび脆弱性を追跡中であるかどうかです。

    • セッション: この列は、エージェントの設定ファイルにセッションメタデータが設定されているが、セッションメタデータフィルタを選択していない場合に表示されます。「セッション」列フィルタを使用して、結果を絞り込むことができます。

      一覧の上にある〜で表示(〜はプロパティ名)メニューを使用して、エージェントの設定ファイルで指定したセッションメタデータ値で、データを絞り込みます。このフィルタは、「セッション」列に表示される値を更新します。

      「〜で表示」メニューは、エージェントの設定ファイルにセッションメタデータが設定されているが、セッションメタデータフィルタを選択していない場合に表示されます。

マージしたアプリケーションでオープン中の脆弱性

マージしたアプリケーションの場合、アプリケーション一覧の「オープン中の脆弱性」列には、メインアプリケーションにある全てのアプリケーションモジュールの脆弱性の数が表示されます。アプリケーション一覧には、メインアプリケーションは表示されますが、メインアプリケーションに含まれるモジュールは表示されません。

例:

アプリケーションをマージする前の「オープン中の脆弱性」列が、以下のようであるとします。

AppsUnmerged.png

アプリケーションをマージしたら、「オープン中の脆弱性」列にある棒グラフには、メインアプリケーションとマージされた全てのモジュールの脆弱性が表示されます。

AppsMergedVulns.png

マージされたアプリケーションの「脆弱性」タブを表示して、「アプリケーション」列のフィルタを使用すると、Contrastで脆弱性が検出されたモジュール名が表示されます。

Image shows Application filter for viewing modules.

関連項目

組織レベルで脆弱性を表示