組織レベルで脆弱性を表示
Contrastで脆弱な箇所を検出して結果を表示できるよう、アプリケーションを疎通(閲覧や操作)します。
より詳細な脆弱性情報を参照したい場合は、セッションメタデータを報告するようContrastエージェントを設定します。
「<env>でのProtectルール」列を表示するには、Contrast Protectがオンになっている必要があり、次の権限が必要です:
ロールベースのアクセス制御を使用している場合は、「アプリケーションの閲覧」と「Protectデータのアクセス」のアクションのあるロールが必要です。
組織のユーザとグループを使用している場合、SuperAdminがユーザに対してContrast Protectを有効にする必要があります。
Contrast Webインターフェイスのナビゲーションバーで脆弱性を選択します。
脆弱性一覧の一番上で、ライセンスありのみを表示を選択すると、ライセンスのあるアプリケーションのみが表示されます。
列でフィルタをかけるには、列のヘッダの横にあるフィルタアイコン(
)を選択します。フィルタには以下のオプションがありますが、選択したアプリケーションに適用可能な場合に利用できます。深刻度:利用可能なフィルタは、重大、高、中、低、注意です。
脆弱性 :利用可能なフィルタは次の通りです。
脆弱性のタグ: 作成したカスタムタグに関連付けられた脆弱性。
種類:脆弱性の種類。
サーバ:選択したサーバに関連するアプリケーションの脆弱性。
環境: 選択した環境(開発、QA、本番)にあるアプリケーションの脆弱性。
シンク:共通のシンクに起因する脆弱性。
シンクは、複数のデータフローの脆弱性間で共有されているカスタムコードです。
シンクでフィルタをかけることで、複数の脆弱性の原因となっているコード行を特定することができます。
URL:特定のURLに関連する脆弱性。
コンプライアンスポリシー:コンプライアンスポリシーに関連する脆弱性。
<env>でのProtectルール:利用可能なフィルタは次の通りです。
オフ:保護がオフになっています。
監視:脆弱性にマップされているProtectルールは、監視モードになっています。
ペリメータで監視:脆弱性にマップされているProtectルールは、ペリメータで監視のモードになっています。
ブロック:脆弱性にマップされているProtectルールは、ブロックモードになっています。
ペリメータでブロック:脆弱性にマップされているProtectルールは、ペリメータでブロックのモードになっています。
ルール無し:Contrastでは、この脆弱性に対するProtectルールがありません。
アプリケーション:利用可能なフィルタは次の通りです。
アプリケーション名: アプリケーションに関連付けられた名前。
カスタムタグ: アプリケーションに割り当てられたタグ
言語: アプリケーションで使用されている言語。
テクノロジ: アプリケーションで使用されているテクノロジ。例えば、JSONやjQueryなど。
アプリケーションの重要度: アプリケーションの設定で指定したアプリケーションの重要性。
アプリケーションメタデータ: アプリケーションに関連付けられたアプリケーション メタデータ。
最後の検出:利用可能なフィルタは、最初の検出、最後の検出、時間範囲です。 特定の日付と時刻を指定する場合は、カスタムを選択します。
ステータス: 利用可能なフィルタは、ステータスおよび脆弱性を追跡中かどうかです。
フィルタを解除するには、列のヘッダの横にあるクリアを選択します。
脆弱性の詳細を表示するには、脆弱性の名前を選択します。以下のカテゴリの情報が表示されます。
Overview tab: Details including:
The application where the vulnerability occurred
The environment in which the application is running
The first time Contrast detected the vulnerability
The last time Contrast detected the vulnerability
What happened in the application that caused Contrast to report the vulnerability
The security risk
ビルド番号、脆弱性を報告しているサーバ、脆弱性のカテゴリ、セキュリティ基準など、脆弱性の識別やタイミング、場所に関する詳細な情報。
To display additional details, select each category to expand the view.
HTTP情報
脆弱性を修正する方法
Notes tab: Details about the identity, timing and location of the vulnerability including: when Contrast detected the vulnerability, application version, reporting servers, server environments, route coverage, module in the application, category and security standards
First and last time that Contrast detected the vulnerability
Application version
Reporting server information including the server name, latest agent version, and environment
Route associated with the vulnerability
Application module where the vulnerability occurred and the application language
Severity level of the vulnerability
Confidence level, indicating the level of certainty that a finding is a true vulnerability
Security standards associated with the vulnerability
Metadata configured for the application
Session ID where the vulnerability occurred
Instances where the vulnerability occurred
アクティビティタブを使用して、関連するJiraの課題(設定されている場合)に新しいコメントを追加します。その逆に、Jiraの課題にコメントが追加された場合に、そのコメントが「アクティビティ」タブに表示されます。