ライブラリの表示
ライブラリの情報を表示する方法はいくつかあります。
Contrast Webインターフェイスのナビゲーションバーでライブラリを選択すると、組織で使用されている全てのライブラリが一覧で表示されます。より詳細な情報は、一覧でライブラリ名をクリックします。
個々のアプリケーションやサーバの詳細ページからも、ライブラリの情報を確認できます。
Contrast Webインターフェイスのナビゲーションバーでアプリケーションを選択し、アプリケーション名をクリックするとアプリケーションの詳細ページが表示されます。ライブラリタブを選択します。
Contrast Webインターフェイスのナビゲーションバーでサーバを選択し、サーバ名をクリックするとサーバの詳細ページが表示されます。ライブラリタブを選択します。
ライブラリ一覧の上部にある小さい三角形を選択すると、ライブラリの絞り込みができます。また、虫眼鏡のアイコンをクリックして、特定のライブラリを検索することもできます。
フィルタには次のものがあります。
全て:全てのライブラリを表示します。
脆弱なもの:CVEがあると識別されたライブラリのみを表示します。
ポリシー違反: ライブラリポリシーに違反しているライブラリのみを表示します。
内製:コード内で検出された商用のサードパーティ製ライブラリまたはカスタムビルドライブラリのみを表示します。
オープンソース:コード内で検出されたオープンソースのライブラリのみを表示します。
高リスク:スコアがC以下のライブラリのみを表示します。
修復済:修復済のステータスのライブラリが表示されます。
ライブラリページの上部にあるライブラリ統計を表示を選択すると、組織のライブラリデータの分析を参照できます。各図には、高リスクとなる年数やライブラリのスコアなど、各カテゴリの統計的な平均値と内訳が表示されます。
ライブラリは、スコアの評価がC以下の場合、リスクが高いとみなされます。
静的タブと実行時タブ
Contrastでのライブラリ情報は、2つのタブに分かれます。
静的: Contrast CLIで解析されたマニフェスト(package.jsonや pom.xmlなど)からの検出結果が表示されます。
実行時: 実行時に解析されたアプリケーションの検出結果が表示されます。
一覧よりフィルタの付いた列ヘッダーを使用して、スコア、ライブラリ、深刻度、プロジェクトなどでライブラリを絞り込むことができます。ライブラリ一覧には、以下の項目が表示されます。
スコア:「実行時」タブでのみ表示されます。スコアガイドに基づいて評価されたライブラリのスコアがレターグレードで表示されます。
深刻度:「静的」タブでのみ表示されます。ここには、各ライブラリに存在するすべての脆弱性(CVE)で最も重大な深刻度が表示されます。フィルタを使用して、深刻度に基づいてライブラリを検索できます。なお、フィルタの上記以外オプションは、最も重大な深刻度が無し(CVSSスコアが0)で、CVEが無く、かつ内製か未知のライブラリであるものが検索されます。
ライブラリ: 一覧でライブラリ名をクリックすると、そのライブラリの詳細ページが表示されます。詳細ページには、ライブラリが存在するアプリケーションやサーバのリスト、およびライブラリ内でContrastが検出した既知の脆弱性(CVE)が表示されます。
フィルタを使用して、結果を絞り込むことができます。
言語: 特定の言語で脆弱なライブラリを検索
ライセンス: ライセンス毎にライブラリを表示
環境: 環境ごとにライブラリを表示、本番環境の脆弱なライブラリを見つけるのに役立つ
サーバ: サーバタイプで脆弱なライブラリを検索
最新バージョン: ライブラリの最新バージョン。
注記
.NETのライブラリに関して:最新バージョンの値は、パッケージのアップグレードが可能な推奨バージョンに関連しています。ライブラリのバージョンとハッシュは、Contrastエージェントが検出したファイルによって決定されます。ハッシュはライブラリファイルのバージョンを表し、最新バージョンに表示されるアップグレードバージョンは、パッケージのバージョンを表します。
脆弱性(CVE): ライブラリで検出されたCVEの情報。修復時の優先順位付けの目安となります。脆弱性の棒グラフにカーソルを合わせると深刻度が表示され、深刻度別のCVE数を確認できます。棒グラフをクリックすると、詳細パネルが開きます。
詳細パネルには、脆弱性が存在する場合は、一覧として表示され深刻度別に色分けされます。深刻度が重大な脆弱性が、一覧の先頭に表示され、赤色で表示されます。
CVEのリンクを選択すると、CVEの詳細カードが表示されます。最新情報はNVDを参照を選択すれば、特定のCVEに関する情報が表示されます。NVDのサイトでは、CVEが発生した時点での情報のスナップショットのみを提供しており、CVEの最新の説明ではない場合があることに注意してください。EPSS(Exploit Prediction Scoring System)では、0から1(0%から100%)の確率スコアが算出されます。スコアが高いほど、脆弱性が今後30日以内に悪用される確率が高いことを示します。
アプリケーション:「実行時」タブでのみ表示されます。ライブラリを使用しているアプリケーションの一覧。
使用状況:「実行時」タブでのみ表示されます。ライブラリ内のクラスの総数のうち、実行時に使用されているクラスの総数が表示されます。実行時に使用されているクラスがない場合は、この列には「使用されていません」と表示されます。アプリケーションでクラスがロードされる時に、Contrastエージェントから使用状況が報告されます。そのクラスが以前に使用されたことがなければ、使用数が減ります。数字をクリックすると、ライブラリの使用状況を確認できます。ライブラリに関連するリスクやポリシー違反だけでなく、使用されているクラスの情報も確認することができます。
処理:「実行時」タブでのみ表示されます。ここで、ライブラリにタグを付けたり、ライブラリの送信や削除を行うことができます。
ステータス:「実行時」タブでのみ表示されます。ステータスを変更するには組織のEditロールが最低限必要です(ステータス列が表示されていない場合は、弊社サポートに連絡して、この列を有効にするよう依頼してください)。ステータス列は、アプリケーション > アプリケーション名 > ライブラリタブにアクセスすると参照できます。表示/適用できるステータスには、3種類あります。
プロジェクト:「静的」タブでのみ表示されます。ライブラリを使用しているプロジェクトが一覧表示されます。