Skip to main content

ライブラリの表示

ライブラリの情報を表示する方法はいくつかあります。

  • Contrast Webインターフェイスのナビゲーションバーでライブラリを選択すると、組織で使用されている全てのライブラリが一覧で表示されます。より詳細な情報については、その一覧からライブラリ名をクリックしてください。

  • 個々のアプリケーションやサーバの詳細ページからも、ライブラリの情報を確認できます。

    • Contrast Webインターフェイスのナビゲーションバーでアプリケーションを選択し、アプリケーション名をクリックするとアプリケーションの詳細ページが表示されます。ライブラリタブを選択してください。

    • Contrast Webインターフェイスのナビゲーションバーでサーバを選択し、サーバ名をクリックするとサーバの詳細ページが表示されます。ライブラリタブを選択してください。

クイックビューとフィルタ

フィルタを開く/閉じるicon-filter.svgアイコンを選択して、ライブラリビューをフィルタリングします。

クイックビューフィルタには、次のものがあります。

viewlibraryfilterNEW.png
  • 全て:全てのライブラリを表示します。

  • 脆弱なもの:CVEがあると識別されたライブラリのみを表示します。

  • 内製:コード内で検出された商用のサードパーティ製ライブラリまたはカスタムビルドライブラリのみを表示します。

  • オープンソース:コード内で検出されたオープンソースのライブラリのみを表示します。

  • 高リスクスコアがC以下のライブラリのみを表示します。

  • 修復済:修復済のステータスのライブラリが表示されます。

フィルタには、次のものがあります。

  • アプリケーション:アプリケーション名で検索します。

  • タグ:タグ名で検索します。

  • スコア:スコアで検索します。

  • 言語:指定した言語でライブラリを検索します。

  • 使用状況:実行時に使用されているクラス、または使用されていないクラスで検索します。

  • ライセンス: ライセンスごとにライブラリを表示します。

  • 環境: 環境ごとにライブラリを表示します。

  • サーバ:サーバ別にライブラリを検索します。

  • ライブラリの深刻度:ライブラリの深刻度で検索します。

  • リポジトリ:リポジトリ名で検索します。

  • プロジェクト:ライブラリを使用しているプロジェクトを検索します。

フィルタの種類についての詳細は、以下を参照してください。一部のフィルタは静的タブの下には表示されますが、実行時タブには表示されないものがあります。その逆も同様にあります。

ライブラリページの上部にあるライブラリ統計を表示を選択すると、組織のライブラリデータの分析を参照できます。各図には、高リスクとなる年数やライブラリのスコアなど、各カテゴリの統計的な平均値と内訳が表示されます。ライブラリは、スコアの評価がC以下の場合、リスクが高いとみなされます。

静的タブと実行時タブ

Contrastでのライブラリ情報は、2つのタブに分かれます。

  • 静的: Contrast CLIで解析されたマニフェスト(package.jsonpom.xmlなど)からの検出結果が表示されます。

  • 実行時: 実行時に解析されたアプリケーションの検出結果が表示されます。

viewlibraryNEW.png

ライブラリの各列の詳細:

  • スコア: 「実行時」タブでのみ表示されます。スコアガイドに基づいて評価されたライブラリのスコアがレターグレードで表示されます。

  • 深刻度: 「静的」タブでのみ表示されます。ここには、各ライブラリに存在するすべての脆弱性(CVE)で最も重大な深刻度が表示されます。フィルタを使用して、深刻度に基づいてライブラリを検索できます。なお、フィルタの上記以外オプションは、最も重大な深刻度が無し(CVSSスコアが0)で、CVEが無く、かつ内製か未知のライブラリであるものが検索されます。

  • ライブラリ:ライブラリ名が表示されます。

    一覧からライブラリ名を選択すると、ライブラリの詳細パネルが開きます。パネルには以下の情報が表示されます:

    • 検出結果の概要(「実行時」タブでのみ表示)

    • 検出された脆弱性の修正方法:

      • 脆弱性が解消されたバージョン:現在使用中のライブラリと比較して、脆弱性の少ないライブラリのバージョン。

        ご利用の環境で、最新の安定バージョンへのアップグレードが現実的または効率的でない場合に、このバージョンを使用してください。

      • 最新の安定バージョン:現在使用中のライブラリと比較して、脆弱性が最も少ない、最新の安定バージョン。

    • ライブラリ内でContrastが検出した既知の脆弱性(CVE)の一覧と、ライブラリが存在するアプリケーションやサーバの一覧。

    • 脆弱性の悪用可能性を0から1(0%から100%)までの確率で表すEPSS(Exploit Prediction Scoring System)の計算。スコアが高いほど、脆弱性が今後30日以内に悪用される確率が高いことを示します。

  • 最新バージョン: ライブラリの最新バージョン。

    注記

    .NETのライブラリに関して:最新バージョンの値は、パッケージのアップグレードが可能な推奨バージョンに関連しています。ライブラリのバージョンとハッシュは、Contrastエージェントが検出したファイルによって決定されます。ハッシュはライブラリファイルのバージョンを表し、最新バージョンに表示されるアップグレードバージョンは、パッケージのバージョンを表します。

  • 脆弱性(CVE): ライブラリで検出されたCVEの情報。修復時の優先順位付けの目安となります。脆弱性の棒グラフにカーソルを合わせると深刻度が表示され、深刻度別のCVE数を確認できます。棒グラフをクリックすると、ライブラリの詳細パネルが開きます。

    critical severity thermometer

    詳細パネルには、脆弱性が存在する場合は、一覧として表示され深刻度別に色分けされます。深刻度が重大な脆弱性が、一覧の先頭に表示され、赤色で表示されます。

    CVEのリンクを選択すると、CVEの詳細カードが表示されます。最新情報はNVDを参照を選択すれば、特定のCVEに関する情報が表示されます。NVDのサイトでは、CVEが発生した時点での情報のスナップショットのみを提供しており、CVEの最新の説明ではない場合があることに注意してください。EPSS(Exploit Prediction Scoring System)では、0から1(0%から100%)の確率スコアが算出されます。スコアが高いほど、脆弱性が今後30日以内に悪用される確率が高いことを示します。

  • アプリケーション: 「実行時」タブでのみ表示されます。ライブラリを使用しているアプリケーションの一覧。

  • 使用状況: 「実行時」タブでのみ表示されます。ライブラリ内のクラスの総数のうち、実行時に使用されているクラスの総数が表示されます。実行時に使用されているクラスがない場合は、この列には「使用されていません」と表示されます。アプリケーションでクラスがロードされる時に、Contrastエージェントから使用状況が報告されます。そのクラスが以前に使用されたことがなければ、使用数が減ります。数字をクリックすると、ライブラリの使用状況を確認できます。ライブラリに関連するリスクやポリシー違反だけでなく、使用されているクラスの情報も確認することができます。

  • 処理: 「実行時」タブでのみ表示されます。ここで、ライブラリに タグを付けたり、ライブラリの 送信削除を行うことができます。

  • ステータス: 「実行時」タブでのみ表示されます。ステータスを変更するには組織のEditロールが最低限必要です (ステータス列が表示されていない場合は、弊社サポートに連絡して、この列を有効にするよう依頼してください)。アプリケーション > アプリケーション名 > ライブラリタブにアクセスすると参照できます。表示/適用できるステータスには、3種類あります。

    • 問題無し: このライブラリにある脆弱性は認識済みでリスクは許容できる、またはこのライブラリは使用されていない状況。

    • 修復済脆弱なライブラリに対応・対策済である状況。

    • 報告済 Contrastで脆弱性のあるライブラリが検出された状況。

  • プロジェクト: 「静的」タブでのみ表示されます。ライブラリを使用しているプロジェクトが一覧表示されます。