Contrast UIを使用して、オープンソースソフトウェアライブラリを管理するための機能について説明します。ライブラリページやライブラリの詳細ページ、またはアプリケーションやサーバの詳細ページのライブラリタブからアクセスし、以下の機能を使用します。
ライブラリのタグ付け
ライブラリにタグを付けることで、タグを使用した表示の並べ替えや検索が可能になります。タグによって、対応すべきライブラリに印を付けることができ、ライブラリを管理しやすくなります。
個々のライブラリにタグを付けるには、ライブラリの各行の右にあるアクションメニューでタグアイコンを使用します。また、複数のライブラリに一括でタグを付けるには、チェックマークを使用して複数のライブラリを選択し、表示される一括アクションメニューでタグのアイコンをクリックします。表示される画面で、新しいタグ名を入力するか、一覧に表示されている既存のタグから選択します。ライブラリには1つ以上のタグを追加できます。
タグの付いたライブラリを検索するには、ライブラリ列のフィルターをクリックします。タグセクションに、全てのタグが一覧表示されます。
また、全てのタグは、ライブラリの詳細ページのライブラリ名の横にも表示されます。
タグを削除するには、該当のライブラリ行か一括アクションメニューでタグを付ける手順に従ってください。表示される画面で、削除したい既存のタグ名の「x」をクリックします。ライブラリの詳細ページでタグを削除することもできます。
ライブラリの削除
ライブラリの各行にあるドロップダウンメニューまたはライブラリの詳細ページでゴミ箱アイコンを選択し、個々のライブラリを削除することができます。複数のライブラリを削除するには、該当するライブラリのチェックボックスを選択し、ページ下部にのアクションバーにあるゴミ箱アイコンをクリックします。
ライブラリの情報共有
ライブラリの脆弱性情報を電子メールで送信したり、連携しているバグ管理システムでチケットを発行して修正状況を追跡することができます。選択したライブラリに対して次のデータをContrastから送信できます。バグ管理システムに送信するには、事前に組織の管理者によってシステムが連携されている必要があります。
- ライブラリ名
- 使用中のバージョン
- 脆弱性(CVE)の情報
- 影響のあるアプリケーションとサーバ
- バージョンの遅れ(現在のバージョンと最新バージョンとの比較)
- 使用中/合計のクラス
- スコア
1つのライブラリの情報を電子メールで送信、もしくはバグ管理システムのチケットを作成するには、該当のライブラリの行にある送信(紙飛行機のアイコン)ボタンを使用します。メニューより、バグ管理システムへ送信かメールで送信を選択します。
また、ライブラリの詳細ページやアプリケーションのライブラリタブからも、 ライブラリ情報を送信アイコンを使用することができます。
複数のライブラリの情報の場合は、ライブラリの各行のチェックマークを使用してライブラリを選択し、表示される一括アクションメニューで送信(紙飛行機のアイコン)ボタンをクリックします。
この手順は、オンラインドキュメントでも参照できます。
検出結果のエクスポート
ライブラリページ、ライブラリの詳細ページ、またはアプリケーションやサーバのライブラリタブから検出結果の情報をエクスポートできます。エクスポートアイコンをクリックし、エクスポートする形式にCSVまたはXMLのいずれかを選択します。
選択したライブラリに関して、以下のデータが指定した形式でエクスポートされます。
- ライブラリ名
- 言語
- バージョン
- ライブラリのリリース日
- 最新バージョン
- スコア
- ハッシュ値(SHA-1)
- ライブラリに存在するCVEの数
- ライブラリを使用しているアプリケーションの数
- ライブラリを使用しているサーバの数
- 合計クラス数
- ライブラリを使用しているクラス数
- ライセンス情報(Contrast SCAライセンスが適用されている場合)
ライブラリのエクスポート機能では十分な情報が得られない場合のために、Contrastのライブラリ情報にアクセスするためのAPIを提供しています。ライブラリのAPIを使用する方法に関しては、Contrast RESTful APIドキュメント > API > LIBRARYセクションを参照してください。
ライブラリに関連する通知
ライブラリの脆弱性の通知
ライブラリに脆弱性が検出された場合、Contrast UI内の通知パネルもしくはEメールで通知メッセージを受信することができます。ユーザメニュー > ユーザの設定 > 通知を選択し、新しい脆弱性でLibraryを選択します。Contrast UI内の通知パネルで受信したい場合はContrast内のトグルボタンをオンにします。同様の通知をEメールで受信したい場合は、Eメールのトグルボタンをオンにします。
Contrast内を選択した場合にライブラリの脆弱性が新たに検出されると、Contrast UIに以下のように通知されます。
ライブラリポリシー違反の通知
組織全体で許可されていない特定のライブラリやライブラリのバージョンをライブラリポリシーとして定義し、それらが利用された場合、管理者権限のあるユーザ(アプリケーションおよび組織レベルでAdminかRulesAdminロールがあるユーザ)に、ポリシー違反が自動で通知されます。ライブラリポリシー違反の通知を個々のライブラリ毎ではなく、1つに集約したEメールで受信するよう設定できます。通知の画面で、ポリシー違反メールを毎日のEメールダイジェストに集約するを選択します。集約するポリシーにライブラリもしくは全てを選択すると、ライブラリ違反をダイジェストとして集約した1つのメールで受信できます。
ライブラリのステータス管理 (New)
※本機能を有効化するにはSuperAdminの権限を持ったユーザで組織の編集より[アプリケーションのライブラリステータス]を有効にする必要がございます。SaaSのお客様に関してはサポートにお問い合わせください。
本機能を有効化すると以下のようにライブラリのステータスの管理が出来ます。
検知時のステータスは「無し」で空欄となりお客様にてマニュアルで変更し管理する仕様となります。
尚、修復済に変更したライブラリは、以下の通り「全て」を選択し「修復済」を選択するか、ステータスの「Remidiated」を選択しフィルタリングすることで修復済ステータスのライブラリ一覧を確認することができます。
次のステップ
- ライブラリの解析状況を理解するには、ライブラリを解析するをご覧ください。