概要

Contrastで検出された脆弱性情報およびライブラリ情報をCSV形式で取得するツール「CSVDLツール」について紹介します。

Contrast UI(Webインターフェイス)には、標準で以下のエクスポート機能があります。

CSVDLツールは、これらの標準の機能を使用した場合よりも多くの情報をCSV形式でダウンロードすることができ、取得する項目をカスタマイズすることができます。標準のエクスポート機能で必要な情報が取得できない場合などにご利用ください。

CSVDLツールの主な機能

対象のアプリケーションを選択し、取得ボタンをクリックすると、CSV形式(vul_yyyy-MM-DD_HHmmss.csv)でファイルが作成されて、脆弱性情報が出力されます。

脆弱性の情報として出力する項目は、設定画面で含める/含めないを指定でき、出力順序も変更できます。

上記項目だけでなく、改行を含む長文データの項目(ルート、HTTP情報、修正方法、コメントなど)と脆弱性の詳細(スタックトレース)も取得するよう指定できます。

これらの情報の取得を指定した場合は、フォルダにまとめて出力されます。基本の項目のCSV形式のファイルに追加して、長文の項目や脆弱性の詳細情報が、脆弱性IDごとにテキストファイルで保存されます。

テキストファイルの内容は、CSV形式のファイルの詳細列にリンクがあるため、クリックすれば参照できます。

対象のアプリケーションを選択し、取得ボタンをクリックすると、CSV形式(lib_yyyy-MM-dd_HHmmss.csv)でファイルが作成されて、ライブラリ情報が出力されます。

ライブラリ情報として出力する項目は、設定画面で含める/含めないを指定でき、出力順序も変更できます。

上記項目に追加して、ライブラリのCVE情報も取得できます。また、出力対象をCVE(脆弱性)を含むライブラリのみに指定できます。

CVE情報の取得を指定した場合は、フォルダにまとめて出力されます。基本の項目のCSV形式のファイルに追加して、CVE情報がライブラリのハッシュ値ごとにテキストファイルで保存されます。脆弱性の情報と同様に、テキストファイルはCSV形式のファイルの詳細列から参照できます。

CSVDLツールでは、複数のアプリケーションの情報を同時に取得することができます。右側のボックスに、情報を取得する対象のアプリケーションを選択します。また、マージされたアプリケーションの場合には、親アプリケーションの情報のみを取得するよう指定することもできます。

1. CSVDLツールは、GitHubから入手できます。以下のリンク先より取得して、お使いの環境にインストールしてください。インストール方法は、GitHubのREADMEを参照してください。

2. CSVDLツールを起動して、Contrastサーバと接続するための認証情報を設定します。

3. 具体的な使用方法や詳細な設定については、本ページ下部に添付のPDFファイル(CSVDL_v0132.pdf)をご覧ください。

※　不明な点やサポートが必要な場合は、弊社(Japan_CS@contrastsecurity.com)までお問い合わせください。