ライブラリのスコアガイド

Contrastでは、アプリケーションのライブラリのセキュリティはレターグレードでスコア付けされ、分析時の目安として使用することができます。グレードとスコアの対応は以下のとおりです。

スコアは、3つのペナルティ要因に基づきます。

時間： ライブラリの古さは、アプリケーションで使用されているバージョンのリリース日から最新バージョンのリリース日までの年数に2.5を掛けて計算されます。
ステータス： ステータスは、アプリケーションの現在のライブラリ以降にリリースされたバージョンの数に10を掛けて計算されます。
セキュリティ： ライブラリのCVEペナルティは、このライブラリの全ての既知のCVEの中で最も高い深刻度に10を掛けたものです。

Organization Administratorは、セキュリティの基準のみを含めるようスコア付け方法を調整できます。

例：

2010年1月リリースのライブラリを使用していて、最新バージョンが2013年9月にリリース済である場合、経過した年数は2年です。そのため、時間のペナルティは以下のようになります。

2 x 2.5 = 5.0

バージョン1.1.1を使用しているが、バージョン1.1.2と1.1.3がリリース済である場合、ペナルティは以下のようになります。

2 x 10 = 20

2.4および2.2のスコアが付いているライブラリがある場合、ペナルティは以下のようになります。

2.4 x 10 = 24

ライブラリの最終的なスコアは、3つのペナルティそれぞれの値を100から差し引くことで計算されます。

100 - 5 - 20 - 24 = 51

スコアが51の場合はレターグレード"F"に相当します。