Skip to main content

ルート情報の表示

ルートカバレッジは、脆弱性がアプリケーションの攻撃対象領域に対して、どのように関連付けられるかを理解するのに役立ちます。

ルートカバレッジの一覧からルートを削除しても(手順8および9)、サーバの再起動時やアプリケーションの疎通時にルートがまだ存在する場合に、そのルートは再度カバレッジの対象に含まれることになります。ルートを完全にカバレッジの対象外にする場合は、そのルートの行の右端にある除外アイコン(ExcludeIcon.png) を選択してください。

手順

  1. Contrast Webインターフェイスのナビゲーションバーでアプリケーションを選択します。

  2. アプリケーションの名前を選択します。

    アプリケーションの概要タブには、アプリケーションの合計ルート数に対する疎通済みのルート数が表示されます。

  3. 概要タブで、疎通済みのルート数を選択するか、ルートカバレッジタブを選択します。

    This image shows the options for selecting route coverage details

  4. ルートカバレッジタブでは、「ルートカバレッジ概要」に次の情報が表示されます。

    Image shows the route coverage summary with selected metadata.

    • 累積実行ルート:このセクションには、実行したルートに関する次の詳細が表示されます。

      • HTTPリクエストのルートの割合と数

      • 非HTTPリクエストのルートの割合と数

        HTTPルートとは、クライアントがウェブサーバーからリソースを要求するために使用するパスまたはURLのことです。

      • 非HTTPリクエストのルートの割合と数

        非HTTPルートとは、HTTP以外の通信プロトコルを使用するネットワークパスである。

      • ミドルウェア機能のルートの割合と数

        ミドルウェアルートは、クライアントのリクエストとサーバーのレスポンスの間に存在する関数です。リクエストを傍受して変更したり、コードを実行したり、あるいは別の関数に渡したりすることが可能です。

      Cumulative exercised routes shows values for only the route types that were exercised. For example, if no non-HTTP requests are exercised, no values for these routes are displayed.

      備考

      HTTP以外のリクエストとミドルウェア機能のルートカバレッジ機能を有効にするには、 にお問い合わせください。 コントラストのサポート

      Javaの場合、この機能はJavaエージェント6.18.1以降に対応しています。

    • セッション ルート:このセクションには、適用されたセッション メタデータ フィルターに基づいて詳細が表示されます。

      フィルターを適用アイコン(icon-filter.svg)を使用して、特定のセッションを選択します。

      注記

      セッションメタデータのフィルタを適用していない場合、値は表示されません。セッションメタデータの値を参照するには、フィルタを適用またはフィルタを編集(現在のフィルタを変更する場合)を選択し、使用するフィルタを指定します。

      これには以下の詳細が含まれます。

      • 適用されたフィルタに一致する実行済み経路の割合

      • 適用されたフィルターに一致する処理済みルートの数

      • 選択されたセッションの日時

      • アプリケーションのリポジトリ

      • ビルド番号

      • ブランチ名

      • コミッター名

  5. 「ルートカバレッジ」タブでは、セッションメタデータフィルターを適用しない場合、ルートカバレッジチャートには、ルートに関する詳細がそのステータスに基づいて表示されます。

    注記

    セッションメタデータのフィルタを既に選択している場合は、このグラフは表示されません。グラフを表示するには、フィルタをクリアを選択します。

    RouteCoverageChart.png

    • Contrastで検出されたルート

    • Contrastエージェントを使用して疎通されたルート

    • 疎通されて脆弱性があると判明したルート

  6. ルートカバレッジの一覧には、各ルートの詳細が表示されます。

    • ルート:Contrastで特定されたルート、または追跡中のルート。

    • 環境:アプリケーションが実行されている環境: 開発、QA、または本番

    • サーバ:アプリケーションが稼働しているサーバ。

      デフォルトでは、サーバ列に表示されるのは3サーバまでです。3サーバを超える場合に、サーバの全リストを表示するには、全て(xサーバ)を表示を選択します(xはサーバの合計数)。

      Images shows the columns and filters for the Route Coverage list

      注記

      サーバを削除すると、サーバはグレー表示されるのではなく一覧から削除されます。

    • エントリポイント:ルートタイプ: HTTP、非HTTP、ミドルウェア

    • 脆弱性:そのルートに関連付けられた脆弱性の数。

    • アプリケーション:アプリケーションの名前

    • 最初の検出:そのルートがContrastで初めて観測された時。

    • 最後のアクティビティ: そのルートのアクティビティ期間。

    • ステータス:そのルートのステータス。

  7. 一覧より各項目を選択すると、アプリケーションで特定された各ルートの詳細情報が表示されます。

    1. ルートの種類別に表示するには、フィルターアイコン(icon-filter.svg ) をクリックします。

    2. ルートの種類別に表示するには、フィルターアイコン(icon-filter.svg ) をクリックします。

    3. 特定のルートの脆弱性の詳細を表示するには、脆弱性列の深刻度バーのセクションを選択します。各セクションには、深刻度(重大、高、中、低、注意)が表示されています。

    4. Contrastがそれらを観測したアプリケーションに基づいてルートを表示するには、「アプリケーション」列の横にあるフィルターアイコン ( icon-filter.svg) を選択します。

    5. 最初にルートが観測された時間に基づいてルートを表示するには、「最初の検出」列の横にあるフィルターアイコン(icon-filter.svg)を選択します。

    6. アクティビティ期間に基づいてルートを表示するには、「最後のアクティビティ」列の横にあるフィルターアイコン(icon-filter.svg)を選択します。

      期間を変更すると、ルートカバレッジのグラフの期間も変更されます。

      フィルタの選択を解除するには、列の見出しの横にあるクリアを選択します。

  8. 一覧から1つのルートを削除するには:

    1. 行の右端にカーソルを合わせ、削除アイコン(routeRemoveIcon.png)をクリックします。

    2. ルートの削除の確認画面で、削除を選択します。

  9. 一覧から複数のルートを削除するには:

    1. 1つまたは複数のルートの行でチェックマークを選択します。また、全てのルートを選択する場合は、ルートの横にあるチェックマークを選択します。

    2. ページの下部に表示される一括アクションメニューで、削除アイコン(routeRemoveIcon.png)を選択します。

    3. ルートの削除の確認画面で、削除を選択します。

  10. ルートの情報をContrastの外部で参照・共有するには:

    1. 1つまたは複数のルートの行でチェックマークを選択します。また、全てのルートを選択する場合は、ルートの横にあるチェックマークを選択します。

    2. ページの下部に表示される一括アクションメニューで、エクスポートアイコン(icon-download.svg )を選択します。

      バックグラウンドでCSVファイルの生成が開始します。処理が完了すると、CSVファイルをダウンロードできるようになったという通知が表示されます。通知メッセージには、生成されたファイルへのリンクが含まれています。

      CSVファイルには次のものが含まれます:

      • アプリケーションのルートのリスト

      • ルートが検出されたサーバの情報

      • ルートが最後に疎通された日付

      • 脆弱性の一覧、各脆弱性の深刻度およびステータス

関連項目

このセクションの内容:
非HTTPリクエスト非HTTPリクエストミドルウェア