スキャン結果の分析
スキャンは、アプリケーション内のデータフローを観察し、検出した脆弱性を報告します。
結果を調査した後、アプリケーションのコードを修正して再度スキャンを実行し、脆弱性が修正されているか確認します。
スキャンが完了したら、脆弱性の情報、プロジェクト作成者、各スキャンを実行したユーザを確認できます。
Contrast Webインターフェイスのナビゲーションバーでスキャンを選択します。
スキャンページに、スキャンプロジェクトの一覧が表示されます。
プロジェクト作成者、各スキャンを実行したユーザ、検出された脆弱性の一覧とその深刻度を表示するには:
スキャンプロジェクトを選択します。
ページの上部に、プロジェクト作成者が表示されます。「名前」列に、スキャンを実行したユーザが表示されます。
注記
プロジェクト作成者とスキャン実行者を表示する機能は、2023年6月12日以降に作成されたスキャンプロジェクトで利用できます。
概要タブで脆弱性の数をクリックするか、脆弱性タブを選択します。
脆弱性タブで、脆弱性をステータスや深刻度でソートするには、ステータスまたは深刻度の列の横にあるフィルタアイコン( )を選択し、1つまたは複数の項目を選択します。
深刻度のフィルタ:
ステータスのフィルタ:
フィルタをクリアするには、深刻度またはステータス列の横にあるクリアを選択します。
特定の脆弱性に関する詳細情報を表示するには、脆弱性タブで該当の脆弱性を選択します。
選択した脆弱性の概要タブには、アプリケーションコードで発生した内容や脆弱性に関するリスクなど、脆弱性の説明が表示されます。
脆弱性の詳細やアプリケーションコード内での脆弱性の場所を参照するには、詳細タブを選択すると次の情報が表示されます。
脆弱性が存在するメソッド
スキャンによって脆弱性が検出されたファイル
スキャンによって脆弱性が検出されたアプリケーションコードの最初の行
コードの修正方法を参照するには、修正方法タブを選択します。
脆弱性に関するその他の詳細情報は、備考タブを選択すると、次のような情報が表示されます。
脆弱性の検出時間
脆弱性が検出されたコードモジュール
脆弱性の種類(インジェクションなど)
深刻度
リスクの信頼性
脆弱性に適用されるセキュリティ基準
脆弱性に関するアクティビティを参照したい場合、アクティビティタブを選択すると、次のような情報が表示されます。
変更を行ったユーザ
脆弱性のステータスの変更
コメント