Contrast Visual Studio Codeプラグインを使用する
Contrast Visual Studio Code IDE(統合開発環境)プラグインを使用して、セキュリティ脆弱性をContrast AssessやContrast Scanと連携します。このプラグインにより、プロジェクト(Contrast Scan)やアプリケーション(Contrast Assess)に関連する脆弱性について包括的な情報をぼほリアルタイムで得ることができます。
主な機能
脆弱性レポート
Contrast AssessでのアプリケーションやContrast Scanにおけるプロジェクトに関連する脆弱性を表示できます。
深刻度、ステータス、検出日などのフィルタによって、脆弱性一覧の検索を絞り込むことができます。
現在のファイル
IDEで現在開いているファイルに関連する脆弱性の一覧が、重要度に応じた視覚的な指標と共ににツリー表示されます。
コードの文脈(コンテキスト)に合わせて注釈が表示され、該当するコード行へ移動して確認できます。
詳細な脆弱性情報
Contrast Assessを使用する場合、各脆弱性に関する詳細な情報を得られます。修復手順やイベントログだけでなく、脆弱性のステータスを更新したり分類するオプションなどがあります。
ユーザインターフェイスには、ユーザが操作しやすいよう、各脆弱性に関連する詳細が専用のタブビューでシームレスに表示されます。
スケジューラ
設定可能なスケジュールに基づいて、アプリケーション(Contrast Assess)およびプロジェクト(Contrast Scan)の脆弱性を手動で操作することなく自動的に取得できます。
開始する前に
サポートされているシステム要件を満たしていることを確認
CPU:クアッドコア
RAM:16 GB
ストレージ:SSD、128 GB
モニター:1080p
サポートされているソフトウェアのバージョンを使用していることを確認:
Visual Studio Code IDE 1.96.0、1.97.0、または1.98.0
Windows 11、Ubuntu 22.04.5 LTS、または Mac OS Sequoia 14.x
Node.js 20.17.0
Visual Studio Codeプラグインをインストールする
Visual Studio Codeで、拡張機能の画面(
CTRL + Shift + X
またはCommand + Shift + X
)に移動し、Contrast Securityを検索します。Contrast IDEを選択し、インストールを選択します。
インストールが完了したら、Visual Studio Codeを再起動します。
左側のナビゲーションで、Contrastのアイコン(
)を選択します。
アクティビティバーでContrastの設定を選択します。
APIキー、組織ID、Contrast URLを入力します。これらの値はContrastのプロファイルで確認できます。
取得を選択します。
選択したソースが「Assess」の場合、プラグインよりApplication Retrieved Successfully(アプリケーションが正常に取得されました)というメッセージが表示されます。選択したソースが「Scan」の場合、Project Retrieved Successfully(プロジェクトが正常に取得されました)というメッセージが表示されます。
Visual Studio CodeプラグインをContrast Assessで使用する
Visual Studio Codeの左側のナビゲーションで、Contrastのアイコン(
)を選択します。
アクティビティバーで、Contrastの設定を選択します。
Contrastの設定で、「ソース」としてAssessを選択します。
検査したいアプリケーションを選択し、 追加を選択します。
オプションで、 脆弱性更新サイクルを設定して、脆弱性の詳細を自動更新する頻度を管理できます。
取得を選択して、アプリケーションの一覧を取得します。
Contrast Assessを選択します。
脆弱性を取得タブを選択します。
フィルタを選択し、設定したアプリケーションの脆弱性を取得します:
「アプリケーション」ドロップダウンで、アプリケーションを選択します。
必要に応じて、ビルド番号、深刻度、ステータス、フィルタの時間枠、セッションメタデータ(アプリケーション用に定義されている場合)のいずれかのフィルタを選択します。
実行を選択します。
脆弱性レポートタブで結果を表示します。
特定の脆弱性に関する詳細を表示するには、その脆弱性を選択します。
この操作によって、詳細を参照できるタブが開きます。
「概要」タブには、最初の検出日、最後の検出日、脆弱性の原因、および脆弱性に関連するリスクの詳細が表示されます。
「修正方法」タブには、脆弱性を修正するための修正手順が表示されます。
「イベント」タブには、脆弱性に関連するイベントの概要が表示されます。
イベントのタイプに基づいて、イベントのステータスが表示されます。
「HTTPリクエスト」タブでは、問題が修正されたかどうかを確認できます。
修正されていない場合、その問題は報告済のステータスで再度表示されます。
「タグ」タブ (
) には、組織内のタグの一覧と脆弱性のタグが表示されます。
脆弱性用の新しいタグを作成することもできます。
「ステータス変更」タブでは、ドロップダウンにある全てのステータス値を参照できます。
任意の値を選択し、選択した脆弱性についてコメントを追加できます。
Contrast Webインターフェイスで詳細を表示するには、 リダイレクト(
)アイコンを選択します。
表示された詳細を手動で更新するには、更新(
)アイコンを選択します。
現在のファイルタブに、IDEで現在で開いているファイルに関連する脆弱性が表示されます。
「現在のファイル」タブの下部にあるステータスバーには、ファイル内の脆弱性の総数が深刻度(重大、高、中、低、または注意)に応じて表示されます。
特定の脆弱性を選択すると、その脆弱性の詳細が表示されます。この操作により、Contrastで脆弱性が検出されたコード行に移動できます。
深刻度、アドバイス、最後の検出日、ステータス、その他のオプションの詳細を表示するには、脆弱性の行にカーソルを合わせて下さい。
Visual Studio CodeプラグインをContrast Scanで使用する
Visual Studio Codeの左側のナビゲーションで、Contrastのアイコン(
)を選択します。
アクティビティバーでContrastの設定を選択します。
Contrastの設定で、「ソース」としてScanを選択します。
取得を選択して、プロジェクトの一覧を取得します。
スキャンしたいプロジェクトを選択し、追加を選択します。
プロジェクトの認証情報を編集するには:
テーブルで選択します。
編集(
)アイコンを選択します。
認証情報を変更し、更新選択します。
プロジェクトを削除するには、テーブルでプロジェクトを選択し、削除(
)アイコンを選択します。
スキャンを実行するには:
IDEでコードプロジェクトを開き、プロジェクト名がContrast Scanでの名前と一致していることを確認してください。
注記
IDEの相対パスは、脆弱性の推論を行えるようにするために、Contrast Scan内の相対パスと一致する必要があります。
アクティビティバーで、Contrast Scanを選択します。
「フィルタ」 タブで、ステータスと深刻度のフィルタを選択します。
実行を選択します。
結果を表示するには:
脆弱性レポートタブを選択します。
深刻度、アドバイス、最後の検出日、ステータス、その他のオプションの詳細を表示するには、脆弱性の行にカーソルを合わせて下さい。
「現在のファイル」タブに、現在のファイルの脆弱性に関する解析情報が表示されます。
VSCodeのステータスバーで深刻度(重大、高、中、低)を選択すると、「現在のファイル」タブが開きます。
複数のプロジェクトが開いているときに特定のプロジェクトの脆弱性を表示するには:
ワークスペースで複数のプロジェクトを開いている場合は、表示したいプロジェクトをVS Code IDEの最初の位置に移動します。
この操作により、Contrastの設定画面で選択されているContrast Scanのプロジェクトが自動的に更新されます。