Contrastで、どのようにアプリケーションのオープンソースライブラリが解析され、潜在的なセキュリティリスクが評価されるのかを理解し、Contrast UIで参照する方法について説明します。
ライブラリファイルの検出
Contrastではライブラリファイルのハッシュ値が作成され、このハッシュ値を使用して、既存のライブラリを管理するデータベースと比較が行われます。データベースにハッシュ値がある場合は、ライブラリファイルにスコアが割り当てられます。ライブラリがカスタムファイルの場合、ハッシュがデータベースに無いため、このライブラリはContrastエージェントにより「不明(Unknown)」として報告されます。また、最新のライブラリがリリースされたタイミングや、Contrast EOPをエアギャップ環境で利用中でライブラリファイルを更新していない場合にも「不明」と検出される場合があります。
ライブラリのスコア
Contrastでは、アプリケーションのライブラリのスコアをレターグレード(AからFまでの文字)で表し、分析時の目安として使用することができます。ライブラリのスコアの算出は、デフォルトでは以下の3つの要素を100から減算します。
- ライブラリの古さ:利用されているバージョンから最新バージョンまでの年数に2.5を掛けたものを減算します。
- 公開最新版までのバージョン数: 利用されているバージョンから最新版までのバージョン数の差に10を掛けたものを減算します。
- ライブラリの脆弱性: 全ての既知のCVEの中で最も高いCVSSに10を掛けたものを減算します。
メモ:
ライブラリのスコアの計算方法をカスタマイズすることで、デフォルトの計算方法から、ライブラリの脆弱性のみを対象とするように変更することもできます。組織の設定 > スコアの設定 > ライブラリのスコアで脆弱性のみを評価対象とするを選択します。
計算されたスコアは以下のようにレターグレードにマップされます。
ライブラリの使用状況
使用状況のセクションには、ライブラリファイルで宣言されているクラス数のうち、アプリケーションで利用されているクラス数が表示されます。SCAの脆弱性の対策として更新が必要なライブラリを確認します。
また、アプリケーションの詳細ページで、ライブラリが利用されているクラスを一覧表示することもできます。この一覧を表示するには、Contrast SCAライセンスが必要です。Contrast SCAライセンスの適用については、組織の管理者にご連絡ください。
ライブラリの依存関係
アプリケーションで使用しているSCAライブラリの一覧を可視化し、SCAの依存関係を階層的に表示することができます。階層化された依存関係を参照して、ライブラリの脆弱性を確認できます。この依存関係を表示するには、Contrast CLIをインストールしてアプリケーションのSCAライブラリの解析を実行する必要があります。
関連情報