ライブラリのスコアガイド
Contrastでは、アプリケーションのライブラリの安全性を文字で表したグレードで提供し、分析時の目安として使用することができます。以下のとおり、スコアをグレード(AからFの文字)に置き換えます。
A: 90 - 100
B:80 - 89
C:70 - 79
D:60 - 69
F:35 - 59
スコアは、次の3つのペナルティ要素に基づきます。
時間: ライブラリの古さです。アプリケーションで使用されているバージョンのリリース日から最新バージョンのリリース日までの年数に、2.5を掛けた数が減算されます。
ステータス: ステータスは、ライブラリの日付以降のバージョン数です。アプリケーションの現在のライブラリ以降にリリースされたバージョンの数に、10を掛けた数が減算されます。
セキュリティ: ライブラリに影響を与えるCVE数です。ライブラリのCVEペナルティは、このライブラリの全ての既知のCVEの中で最も高い深刻度に、10を掛けた数が減算されます。
注記
組織の管理者は、セキュリティ要素のみを対象とするようスコアの設定方法を調整できます。
ヒント
例:
2010年1月にリリースされたライブラリを使用していて、最新版が2013年9月にリリースされた場合は、経過した年数は2となります。そのため、時間のペナルティは次のようになります。
2 x 2.5 = 5
バージョン1.1.1を使用しているが、バージョン1.1.2と1.1.3がリリースされている場合は、ペナルティは次のようになります。
2 x 10 = 20
セキュリティのスコアに2.4と2.2があるライブラリがある場合、ペナルティは次のようになります。
2.4 x 10 = 24
ライブラリの最終的なスコアは、3つのペナルティそれぞれの値を100から引くことによって計算されます。
100 - 5 - 20 - 24 = 51
51のスコアには、「F」という文字が評価として割り当てられます。