ランタイムライブラリの使用状況の分析
ランタイムライブラリの使用状況を確認することで、ライブラリのどの部分がアプリケーションで実際に使用されているかを知ることができます。そして、ライブラリがアプリケーションに与える影響を把握できるため、脆弱性(CVE)に関する調査時間を短縮できます。また、セキュリティ担当者は、アプリケーションがランタイムで脆弱なライブラリを使用していることを開発担当者と一緒に確認できるので、作業の効率も向上します。
注記
Contrast SCAライセンスのある組織のみで、使用状況の完全な情報を参照できます。詳細については、弊社営業担当のJPNsales@contrastsecurity.comにお問い合わせください。
Contrast Webインターフェイスのナビゲーションバーでライブラリを選択します。ランタイムをクリックして使用状況列を参照すると、実行時にライブラリが使用さているかどうか、およびどのくらい使用されているかを確認することができます。使用数は、そのライブラリで使用可能であることが判明している項目の合計数のうち、エージェントを組み込んだアプリケーションで使用されている項目の数を表します。
ここでの項目は、このライブラリを使用するアプリケーションの言語に応じて異なり、クラス、ファイル、または関数となります。メインアプリケーションに同じライブラリを使用する複数のアプリケーションがマージされている場合、使用中の項目はマージアプリケーションを表すものになります。
アプリケーションがライブラリを使用している場合、Contrastエージェントはライブラリ内で使用された項目を報告します。アプリケーションがライブラリ内のより多くの項目を使用すると、使用数も増加します。
適切なライセンスをお持ちの場合、以下の手順を行うことで、特定のアプリケーションにおけるライブラリの使用状況の詳細も確認できます。
アプリケーションのページで、詳細を確認するアプリケーションを選択します。
アプリケーションのライブラリタブを選択します。
確認したいライブラリの使用数をクリックすると、概要と使用状況のパネルが表示されます。
使用状況タブをクリックすると、 使用されてい各クラス、ファイル、関数を確認できます。特定のクラスを検索するには、検索アイコン
をクリックします。また、Contrastでその使用が観測された最初と最後の時刻を確認することもできます。ライブラリのエクスポートにも、使用状況の全データを含めることができます。概要タブをクリックすると、何が起こったか?(問題の説明)とどんなリスクであるか?(深刻度、CVSSのスコア、CVEのタイトル、ポリシー違反)が表示されます。注記
マージされたアプリケーションの場合、最後の検出と最初の検出の列に対する情報がある全てのアプリケーションについて、いつクラスが最初と最後に検出されたかが表示されます。
パネル右上にあるさらに(
)をクリックすると、パッケージ詳細やリポジトリ情報の参照、ライブラリの削除、使用状況をCSV形式でエクスポートすることができます。詳細パネルを閉じるには、Xを選択します。