脆弱性のステータス

脆弱性のステータスは脆弱性一覧に表示され、以下の表に示すいずれかのステータスになります。脆弱性のステータスは、更新できます。

ステータス

どのような場合に設定するか

報告済

Contrastで脆弱性が検出された時のデフォルトのステータスです。アプリケーションでこの脆弱性が悪用される可能性あります。

確認済

ソースコードをレビューする、脆弱性を悪用してみることなどで、この脆弱性が真の判定であると確認した場合のステータスです。

疑わしい

脆弱性は、Contrastから提供された情報に基づくと真の判定のように見えますが、その有効性を判断するにはさらに調査が必要な場合のステータスです。

問題無し

脆弱性は、ソースコードを変更することなく対処した場合のステータスです。このステータスを設定するには、以下のいずれの理由を選択する必要があります。このステータスを設定した脆弱性は、再検出されても報告済のステータスに戻ることはありません。

  • 外部制御により防御された攻撃: WAFなどの別のコンポーネントが環境にあり、この脆弱性の悪用は防御されます。

  • 誤検知:この脆弱性は誤って報告されたものです。Contrastでこれが脆弱性として判定された理由を確認するには、サポートにお問い合わせください。

  • 内部のセキュリティ制御を通過: アプリケーション内にカスタムの修正コードがあり、この脆弱性の悪用は防御されます。

  • 信頼できるパワーユーザのみがアクセスできるURL: この脆弱性は、テストなどの特定の環境にのみ存在し、本番環境には存在しない可能性があります。

  • 上記以外: この脆弱性の対応に関してソースコードの変更が必要ではない理由が他にある場合、このオプションを選択します。上記以外というラベルをカスタム定義に置き換えて、脆弱性が問題無しである理由として指定できます。

修復済

脆弱性は、アプリケーション内のソースコードや設定ファイルなどを変更することで修正された場合のステータスです。

修正完了

この脆弱性は、ソースコードの変更もしくは問題無しのステータスで指定された理由によって、修正された場合のステータスです。このステータスを設定した脆弱性は、再検出されても報告済のステータスに戻ることはありません(このオプションは、管理者のみ使用可能です)。

修復済 - 自動検証

このステータスは、自動でのみ設定されます(ユーザが手動で設定することはできません)。脆弱性のポリシーで設定した期間内に脆弱性が報告されなければ、自動的に修復済 - 自動検証のステータスに変わります。

報告済確認済疑わしいのステータスが設定されている脆弱性は、オープン中の脆弱性となります。問題無し修復済修正完了、または修復済 - 自動検証のステータスの脆弱性は、クローズとなります。脆弱性の一覧でオープン中のフィルターを選択すれば、オープン中のステータスの脆弱性のみが表示されます。全てを選択すると、オープン中とクローズされた両方のステータスの脆弱性が表示されます。

FilterOpenAllVulns.png

エージェントから報告された脆弱性が、それまでにContrastで検出されたことがない場合、その脆弱性のエントリがContrastで新規に作成されます。この脆弱性が既に存在する場合、Contrastは、既存のエントリ、問題数、および最後に検出されてからの日数を更新します。再検出時に全ての脆弱性は、修復済または修復済 - 自動検証.に設定されていたものを除いて、以前と同じステータスで再オープンされます。修復済と修復済 - 自動検証の場合は、報告済として再オープンされます。