基本のワークフロー

Contrastを使用する前に、Contrastの基本的な仕組みを理解しましょう。Contrastには以下の3つの製品があり、Webアプリケーションに対してエージェントによるコードレベルのセキュリティ検査を行うことができます。

• Contrast Assess(IAST) – アプリケーションの通常操作により、開発環境や検証環境などでアプリケーションの脆弱性を検出
• Contrast SCA – オープンソースの脆弱性を特定し可視化
• Contrast Protect(RASP) – 検証環境や本番環境でアプリケーションの脆弱性に対する攻撃を検知して防御

いずれの製品を利用する場合も、基本のワークフローは以下のようになります。

1. Contrastエージェントをアプリケーションサーバに追加

Contrastエージェントを取得して、検査対象のアプリケーションサーバにContrastエージェントを組み込みます。

2. Contrastエージェントを追加したアプリケーションを試験

検査対象のアプリケーションを通常通りに操作・試験します。

3. ContrastエージェントからContrastサーバに脆弱性を報告

検査対象のアプリケーションを操作することでトラフィックが発生し、Contrastエージェントがデータフローを解析し、脆弱性の検出結果がリアルタイムにContrastサーバに報告されます。

4. 脆弱性の検出結果の確認・管理

Contrastサーバに報告された脆弱性の検出結果を、Contrast UI(Webインターフェイス)で確認し、脆弱性に対応します。検出結果は、メールで通知したり、APIを利用してレポートを作成したり、インテグレーション機能によって他システムと連携することができます。

次のステップ

• Contrast UI(Webインターフェイス)にログインする：【動画】Contrast UIにログインする
• Contrast UIからContrastエージェントを取得する：【動画】Contrastエージェントをダウンロードする