脆弱性の管理ポリシー

時間またはルートに基づいてトリガーされるようにポリシーを設定できます。

Assessユーザの場合、組織の管理者が脆弱性ポリシーを設定して、脆弱性の深刻度に応じてステータス変更の承認を要求したり、脆弱性が自動的にクローズするようにポリシーを設定したりすることができます。

脆弱性がこれらのポリシーに違反した場合は、アプリ内で通知するように設定できます。管理者には、アプリ内とEメールの両方で違反が通知されます。

注記

RulesAdminは脆弱性ポリシーの設定保留中の変更のレビューを行えますが、脆弱性の承認を要求できるのは組織ロールのAdmin権限があるユーザのみです。

脆弱性ポリシーには2種類あります。

  • 自動検証ポリシーは、脆弱性のステータスを自動的に修復済 - 自動検証に変更するものです。ステータスにカーソルを合わせるか、脆弱性の名前を選択して、アクティビティタブを選択すると詳細を確認できます。

  • 違反ポリシーは、脆弱性をポリシー違反としてマークするものです。このポリシーがトリガーされると、ダッシュボードの脆弱性セクションの棒グラフにポリシー違反通知が表示されます。

    Image shows policy violation on application overview.

脆弱性ポリシーの設定

管理者は、準拠すべき脆弱性ルール、深刻度、アプリケーションおよびルートに基づいて、脆弱性ポリシーの要件を定義できます。

新しいポリシーを作成するには、以下のステップを実行します。

  1. ポリシーの管理で、脆弱性の管理を選択します。

  2. グリッドで、自動検証または違反タブを選択して、ポリシーを追加を選択します。

  3. 表示されるパネルに、以下の項目を入力します。

    • 名前(必須)

    • 脆弱性ルール:個々のルール、全てのルール、または特定の深刻度の脆弱性についてのルールを選択します。

    • アプリケーション:個々のアプリケーション、全てのアプリケーション、または特定の深刻度の脆弱性に影響を受けるアプリケーションを選択します 。

    • 環境:全ての環境、開発環境、QA環境または本番環境を選択します。

  4. 時間ベースのトリガーを追加するには、指定日数以降に既存の脆弱性を自動検証する:の横にあるチェックボックスをオンにして、タイムリミットを入力します。

    ルートベースのトリガーは、ルートが識別できる特定のテクノロジに対してのみ機能します。この項目が利用できる場合は、ルートベースのトリガーも選択できます。

    注記

    ルートベースのトリガーでポリシーを使用する場合は、Contrastでの元の検出結果に関連付けできないような方法で修復された脆弱性を考慮して、時間ベースのトリガーも定義することをお勧めします。通常このようなケースは、コードが削除された場合にのみ発生するため、再度疎通したり、別のルートで発生するように再定義したりはできません。

  5. 保存を選択します。

重要

複数のポリシーが同じ脆弱性に影響する場合、以下のルールによってContrastの処理が決定されます。

  • 2つの時間ベースのトリガーの間では、期限が最も近い処理が先に適用されます。例えば、最初に違反の期限が適用される場合、脆弱性にフラグが立てられ、その後の期限が適用される時に脆弱性が自動検証されます。

  • 自動検証ポリシーは、違反ポリシーよりも優先されます。例えば、最初に自動検証の期限が適用される場合、脆弱性はクローズされフラグは立てられません。

注記

Contrastで、自動検証された正当な脆弱性が再検出された場合、通常どおり脆弱性は再オープンされます。