Visual Studio Codeプラグインの設定

Visual Studio Codeプラグインを使用すると、機能テスト中にContrastでセキュリティの問題が検出されたときに、検査対象のアプリケーションの脆弱性情報をVisual Studio Code環境から確認できます。

このプラグインでは、アプリケーションで検出された全ての脆弱性の概要に加え、Contrastに脆弱性をエクスポーズするHTTPリクエストなど、各脆弱性の詳細が表示されます。

このプラグインはVisual Studio Codeのバージョン1.42.1以降をサポートしています。

Visual Studio Codeプラグインをインストール、設定、使用するには:

  1. Visual Studio Codeで、Extensionsビューに移動して、「Contrast Security」を検索します。

  2. Installを選択します。インストールが完了したら、Visual Studio Codeを再起動します。

  3. Contrastアカウントを認証するには、Contrast SecurityビューにあるSettingsアイコンを選択します。

  4. Workspaceを選択して、自分のAPIキー組織IDContrast URL、および認証ヘッダを入力します。これらの値はプロファイルで確認できます。

  5. Test Contrast connectionを選択して、認証情報を確認します。接続の成功または無効な認証情報についての確認メッセージが表示されます。

  6. Refreshアイコンを選択して、脆弱性情報を更新します。Contrast Securityで、Severity 別にグループ化された脆弱性がStatus順に表示されます。脆弱性を選択して、How to FixHTTP InformationDetailsOverview などの詳細を表示できます。

    Last DetectedタイムスタンプとStatusは、自動的に表示されます。この情報は、Outputのコードエディタに出力されます。

ヒント

プラグインを使用すると、以下の項目で脆弱性を絞り込めます。

  • 脆弱性メタデータ:

    • アプリケーション名

    • ステータス(報告済、問題無し、修復済など)

    • 環境(開発、テスト、本番)

    • タグ(脆弱性に適用されたカスタムラベル)

    • 検出日(特に、最初と最後の検出日)

  • セッションメタデータ:

    • コミッタ

    • コミットハッシュ

    • ブランチ名

    • Gitタグ

    • リポジトリ

    • テスト実行

    • バージョン

    • ビルド番号

例えば、ユーザは特定の機能ブランチ(ブランチ名)で検出され、自分(コミッタ)が直接コミットした脆弱性のみを表示するよう選択して、別の機能ブランチで別の開発者によってもたらされた脆弱性を除外することができます。

他のユーザは、脆弱性を絞り込んで、自分のセキュリティチームによってブロックされた、特定のビルド(ビルド番号)からの結果のみを表示することができます。マージされた機能ブランチをデプロイする前に解決する必要のある脆弱性のサブセットを直ちに特定できます。