検出された脆弱性が修復済みであるかを確認する

  • 更新
ライセンス オンプレミスおよびSaas
製品 Assess
製品カテゴリ   Contrast UI
サブカテゴリ 使い方

 

脆弱性修正後の確認方法

Contrastで検出された脆弱性が修復済みであるかは、以下の方法で確認できます。

 

検出日時で確認

脆弱性を修正後に、UIテストを実施し最後の検出をベースに修正されたかどうかを確認します。

  • 最後の検出が更新されている場合、修正が不十分で再度脆弱性が検出されていることを示します。
  • 最後の検出が更新されていない場合、修正が完了し、再度脆弱性が検出されていないことを示します。

kotake-01.png

 

アプリケーションのバージョンで確認

脆弱性を修正後、UIテストを実施しビルド番号(バージョン)をベースに脆弱性が修正されたかどうか確認します。ビルド番号(バージョン)はエージェント起動時に設定する必要があります。

  • 指定したバージョンがビルド番号に記載されている場合、修正が不十分で再度脆弱性が検出されていることを示します。
  • 指定したバージョンがビルド番号に記載されていない場合、修正が完了し、再度脆弱性が検出されていないことを示します。

kotake-02.png

 

ビルド番号(バージョン)の指定方法は下記の通りです。

yamlで指定: 
application.version

環境変数で指定:
CONTRAST__APPLICATION__VERSION

システムプロパティで指定
-Dcontrast.application.version

yamlでの指定例

api:
url: YOUR_URL
api_key: YOUR_API_KEY
service_key: YOUR_SERVICE_KEY
user_name: YOUR_USER_NAME
application:
version: 32

 

備考:ビルド番号(バージョン)を指定することで、IDEプラグインでもフィルタとして活用できます。

ElipseBuildNumber.png

 

セッションメタデータ(session_metadata)で確認

脆弱性を修正後、UIテストを実施しセッションメタデータ(session_metadata)をベースに脆弱性が修正されたかどうか確認します。セッションメタデータ(session_metadata)はエージェント起動時に設定する必要があります。

MetadataFilter.png

  • 脆弱性が表示されている場合、修正が不十分で再度脆弱性が検出されていることを示します。
  • 脆弱性が表示されていない場合、修正が完了し、再度脆弱性が検出されていないことを示します。

 

セッションメタデータ(session_metadata)を設定することで、Contrast UIの脆弱性を特定の情報で絞り込むことができます。セッションメタデータがある場合、アプリケーションの脆弱性タブにデータ別カラムが追加され、バージョンやブランチ名、コミットユーザなどの単位でフィルタリングを行うことが可能になります。セッションメタデータとして指定できるキーは以下の通りです。詳細は、セッションメタデータの設定を参照ください。

  • commitHash
  • commiter
  • branchName
  • gitTag
  • repository
  • testRun
  • version
  • buildNmber

SessionMetadata.png

セッションメタデータ(session_metadata)の指定方法は下記の通りです。複数キーを指定する場合は、,(カンマ)で区切ります。

yamlで指定: 
application.session_metadata

環境変数で指定:
CONTRAST__APPLICATION__SESSION_METADATA

システムプロパティで指定
-Dcontrast.application.session_metadata

yamlでの指定例

api:
url: YOUR_URL
api_key: YOUR_API_KEY
service_key: YOUR_SERVICE_KEY
user_name: YOUR_USER_NAME
application:
session_metadata: version=v1, buildNumber=1

 

時間ベースのトリガーで確認

自動検証のトリガーは脆弱性検出後、指定の日数が経過するとステータスを自動で修復済 - 自動検証へ変更します。ステータス変更後にUIテストを実施し再び脆弱性が検出された場合、ステータスが報告済に変更されます。脆弱性が修正されている場合、ステータスは変更されません。

TimeBaseTrigger.png

ルートベースのトリガーで確認

自動検証のルートベーストリガーは脆弱性検出後、後続のセッション(アプリ修正後に再ビルド/再デプロイする)で脆弱性が検出されなかった場合に自動で修復済 - 自動検証のステータスへ変更されます。

RouteBasedTrigger.png

 

関連情報

弊社オンラインドキュメント:脆弱性ポリシーの設定脆弱性のステータス

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

他にご質問がございましたら、リクエストを送信してください