Contrastを使用する前に、Contrastの基本的な仕組みを理解しましょう。Contrastには以下の3つの製品があり、Webアプリケーションに対してエージェントによるコードレベルのセキュリティ検査を行うことができます。
- Contrast Assess(IAST) – アプリケーションの通常操作により、開発環境や検証環境などでアプリケーションの脆弱性を検出
- Contrast SCA – オープンソースの脆弱性を特定し可視化
- Contrast Protect(RASP) – 検証環境や本番環境でアプリケーションの脆弱性に対する攻撃を検知して防御
いずれの製品を利用する場合も、基本のワークフローは以下のようになります。
1. Contrastエージェントをアプリケーションサーバに追加
Contrastエージェントを取得して、検査対象のアプリケーションサーバにContrastエージェントを組み込みます。
2. Contrastエージェントを追加したアプリケーションを試験
検査対象のアプリケーションを通常通りに操作・試験します。
3. ContrastエージェントからContrastサーバに脆弱性を報告
検査対象のアプリケーションを操作することでトラフィックが発生し、Contrastエージェントがデータフローを解析し、脆弱性の検出結果がリアルタイムにContrastサーバに報告されます。
4. 脆弱性の検出結果の確認・管理
Contrastサーバに報告された脆弱性の検出結果を、Contrast UI(Webインターフェイス)で確認し、脆弱性に対応します。検出結果は、メールで通知したり、APIを利用してレポートを作成したり、インテグレーション機能によって他システムと連携することができます。
次のステップ
- Contrast UI(Webインターフェイス)にログインする:【動画】Contrast UIにログインする
- Contrast UIからContrastエージェントを取得する:【動画】Contrastエージェントをダウンロードする