アプリケーションのスコアガイド
アプリケーションのスコアは、各アプリケーションの一般的なパフォーマンスを判定するのに役立ちます。
スコアは、どの程度のアプリケーションが疎通されたかに加え、そのアプリケーションで発見された脆弱性の量と重要度に基づいて算出されます。
スコアの数値とContrastで表示されるレターグレードは以下のとおり対応します。
A:90-100
B:80-89
C:70-79
D:60-69
F:35-59
アプリケーションのスコアを算出するには、アプリケーションのライブラリのスコアとカスタムコードのスコアの平均を求めます。
カスタムコードのスコアを算出するには、100ポイントから始めて、アプリケーションで発見された脆弱性の数に、以下に示す重要度に応じたペナルティの重み付け係数を掛けたペナルティポイントを差し引きます。
重大:脆弱性の数×20
高:脆弱性の数×10
中:脆弱性の数×5
低:脆弱性の数×1
脆弱性は、悪用される可能性がどの程度あるか、またその影響がどれだけ深刻であるかにより重み付けが異なります。
例えば、SQLインジェクションは専門知識を持たずにこれを悪用する自動化ツールが存在するため、重大リスクと見なされます。攻撃者は、アプリケーションやスキーマについて何も知らなくてもデータベースの全内容を盗める可能性があります。
その一方、SHA-1などのハッシュアルゴリズムの使用は、深刻な弱点があることが知られているため、低リスクと見なされます。さらに、これを悪用するには熟練した攻撃者のリソースと大規模な支援が必要になります。
ヒント
例えば、アプリケーションのスコアを計算するには:
まず、カスタムコードのスコアを確認します。アプリケーションに重大リスクの脆弱性が20個、高リスクの脆弱性が10個、中リスクの脆弱性が5個、低リスクの脆弱性が1個あった場合のカスタムコードのスコアは以下のとおりです。
100 - (20 X 0) - (10 X 1) - (5 X 2) - (3 X 1)= 77
ライブラリのスコアが85、カスタムコードのスコアが68のアプリケーションでContrastを実行している場合、アプリケーションのスコアは77となり、レターグレードはCとなります。
85 + 68 = 153 153/2 = 77
スコアを改善するには以下を実行します。
CVEシールドとProtectルールを有効にして、保護されている脆弱性をスコアの計算から除く。
カスタムコードで重大および高リスクの脆弱性を修復する。
脆弱なライブラリを解決する。
古いライブラリを更新する。