Contrast Visual Studio Codeプラグイン

Visual Studio Codeプラグインを使用すると、機能テスト中にContrastでセキュリティの問題が検出されたときに、検査対象のアプリケーションの脆弱性情報をVisual Studio Code環境から確認できます。

このプラグインによって、アプリケーションで検出された全ての脆弱性の概要に加え、脆弱性にさらされているHTTPリクエストなど、各脆弱性の詳細情報が表示されます。

このプラグインはVisual Studio Codeのバージョン1.42.1以降をサポートしています。

Visual Studio Codeプラグインをインストールして設定し、使用するには:

  1. Visual Studio Codeで、拡張機能の画面にアクセスし、「Contrast Security」を検索します。

  2. インストールを選択します。インストールが完了したら、Visual Studio Codeを再起動します。

  3. Contrast Securityのビューから設定アイコンを選択して、Contrastアカウントを認証します。

  4. ワークスペースを選択し、APIキー組織IDContrast URL認証ヘッダを各フィールドに入力します。これらの情報はプロファイルで確認できます。

  5. Test Contrast connectionアイコンを選択して、認証情報を確認します。接続に成功したか、または無効な認証情報についてのメッセージが表示されます。

  6. リフレッシュアイコンを選択すると、脆弱性情報が更新されます。CONTRAST SECURITY下に、深刻度 別にグループ化された脆弱性がステータス順に表示されます。脆弱性を選択すると、概要詳細HTTP情報修正方法 などの詳細が表示されます。

    また、最後に脆弱性が検出された日時や現在のステータスも表示されます。脆弱性の詳細は、出力のコードエディターに表示されます。

ヒント

プラグインを使用すると、以下の項目で脆弱性を絞り込めます。

  • 脆弱性メタデータ:

    • アプリケーション名

    • ステータス(報告済、問題無し、修復済など)

    • 環境(開発、テスト、本番)

    • タグ(脆弱性に適用されたカスタムラベル)

    • 検出日(特に、最初と最後の検出日)

  • セッションメタデータ:

    • コミッタ

    • コミットハッシュ

    • ブランチ名

    • Gitタグ

    • リポジトリ

    • テスト実行

    • バージョン

    • ビルド番号

例えば、ユーザは特定の機能ブランチ(ブランチ名)で検出され、自分(コミッタ)が直接コミットした脆弱性のみを表示するよう選択して、別の機能ブランチで別の開発者によってもたらされた脆弱性を除外することができます。

他のユーザは、脆弱性を絞り込んで、自分のセキュリティチームによってブロックされた、特定のビルド(ビルド番号)からの結果のみを表示することができます。マージされた機能ブランチをデプロイする前に解決する必要のある脆弱性のサブセットを直ちに特定できます。