Skip to main content

ライブラリの表示

ライブラリの情報を表示する方法はいくつかあります。

  • Contrast Webインターフェイスのナビゲーションバーでライブラリを選択すると、組織で使用されている全てのライブラリが一覧で表示されます。より詳細な情報は、一覧でライブラリ名をクリックします。

  • 個々のアプリケーションやサーバの詳細ページからも、ライブラリの情報を確認できます。

    • Contrast Webインターフェイスのナビゲーションバーでアプリケーションを選択し、アプリケーション名をクリックするとアプリケーションの詳細ページが表示されます。ライブラリタブを選択します。

    • Contrast Webインターフェイスのナビゲーションバーでサーバを選択し、サーバ名をクリックするとサーバの詳細ページが表示されます。ライブラリタブを選択します。

  • ライブラリ一覧の上部にある小さい三角形を選択すると、ライブラリの絞り込みができます。また、虫眼鏡のアイコンをクリックして、特定のライブラリを検索することもできます。

    LibraryQuickView1_EN.png

    フィルタには次のものがあります。

    • 全て:全てのライブラリを表示します。

    • 脆弱なもの:CVEがあると識別されたライブラリのみを表示します。

    • ポリシー違反: ライブラリポリシーに違反しているライブラリのみを表示します。

    • 内製:コード内で検出された商用のサードパーティ製ライブラリまたはカスタムビルドライブラリのみを表示します。

    • オープンソース:コード内で検出されたオープンソースのライブラリのみを表示します。

    • 高リスクスコアがC以下のライブラリのみを表示します。

    • 修復済:修復済のステータスのライブラリが表示されます。

  • ライブラリページの上部にあるライブラリ統計を表示を選択すると、組織のライブラリデータの分析を参照できます。各図には、高リスクとなる年数やライブラリのスコアなど、各カテゴリの統計的な平均値と内訳が表示されます。

    ライブラリは、スコアの評価がC以下の場合、リスクが高いとみなされます。

静的タブとランタイムタブ

Contrastでのライブラリ情報は、2つのタブに分かれます。

  • 静的: Contrast CLIで解析されたマニフェスト(package.jsonpom.xmlなど)からの検出結果が表示されます。

  • ランタイム: 実行時に解析されたアプリケーションの検出結果が表示されます。

runtime library view

一覧でフィルター付きの列ヘッダーを使用して、スコア、ライブラリ、深刻度、プロジェクト別にライブラリを絞り込むこともできます。ライブラリ一覧には、以下の項目が表示されます。

  • スコア:ランタイムタブでのみ表示されます。スコアガイドに基づいて評価されたライブラリのスコアがレターグレードで表示されます。

  • 深刻度: 静的タブでのみ表示されます。ここには、ライブラリに存在するすべての脆弱性(CVE)で最も重大な深刻度が表示されます。 フィルタを使用して、深刻度に基づいてライブラリを検索できます。なお、フィルタのOtherオプションは、最も重大な深刻度が無し(CVSSスコアが0)で、CVEが無く、かつ内製か未知のライブラリであるものが検索されます。

  • ライブラリ: 一覧でライブラリ名をクリックすると、そのライブラリの詳細ページに移動します。詳細ページには、ライブラリが存在するアプリケーションとサーバのリスト、およびライブラリ内でContrastが検出した既知の脆弱性(CVE)が表示されます。

    フィルタを使用して、結果を絞り込むことができます。

    • 言語: 特定の言語で脆弱なライブラリを検索

    • ライセンス: ライセンス毎にライブラリを表示

    • 環境: 環境ごとにライブラリを表示、本番環境の脆弱なライブラリを見つけるのに役立つ

    • サーバ: サーバタイプで脆弱なライブラリを検索

  • 最新バージョン: ライブラリの最新バージョン。

    注記

    .NETのライブラリに関して:最新バージョンの値は、パッケージのアップグレードが可能な推奨バージョンに関連しています。ライブラリのバージョンとハッシュは、Contrastエージェントが検出したファイルによって決定されます。ハッシュはライブラリファイルのバージョンを表し、最新バージョンに表示されるアップグレードバージョンは、パッケージのバージョンを表します。

  • 脆弱性: ライブラリで検出されたCVEの情報。修復時の優先順位付けの目安となります。脆弱性の棒グラフにカーソルを合わせると、深刻度別のCVE数が表示されます。棒グラフをクリックすると、詳細パネルが開きます。

    critical severity thermometer

    脆弱性が存在する場合、一覧で表示され、深刻度別に色分けされます。深刻度が重大な脆弱性は、一覧の一番上に赤色で表示されます。

  • アプリケーション:ランタイムタブでのみ表示されます。ライブラリを使用しているアプリケーションの一覧。

  • 使用状況: ランタイムタブでのみ表示されます。ライブラリ内のクラスの総数のうち、ランタイムで使用されているクラスの総数が表示されます。ランタイムで使用されているクラスがない場合は、この列には「使用されていません」と表示されます。アプリケーションでクラスがロードされる時に、Contrastエージェントが使用状況を判断します。今まで使用されていなかったクラスの場合は、使用数は減少します。数字をクリックすると、ライブラリの使用状況を分析できます。そこでは、ロードされクラスの情報だけでなく、ライブラリに関連するリスクやポリシー違反の情報も確認することができます。

  • 処理: ランタイムタブでのみ表示されます。ここで、ライブラリにタグを付けたり、送信や削除を行うことができます。

  • ステータス: ランタイムタブでのみ表示されます。ステータスを変更するには組織のEditロールが最低限必要です(ステータス列が表示されていない場合は、弊社サポートに連絡して、この列を有効にするよう依頼してください)。アプリケーション > アプリケーション名 > ライブラリタブにアクセスすると参照できます。表示/適用できるステータスには、3種類あります。

    • 問題無し: このライブラリにある脆弱性は認識済みでリスクは許容できる、またはこのライブラリは使用されていない状況。

    • 修復済脆弱なライブラリに対応・対策済である状況。

    • 報告済 Contrastで脆弱性のあるライブラリが検出された状況。

  • プロジェクト: 静的タブでのみ表示されます。ライブラリを使用しているプロジェクトが一覧表示されます。

このセクションの内容:

プロジェクトに必要な依存関係を宣言するためにプロジェクトに保存されるファイル。

ライブラリのステータスとして、 このライブラリにある脆弱性は認識済みであり、そのリスクは許容できるものを表します。

ライブラリのステータスとして、脆弱なライブラリに対応・対策済であることを表します。

ライブラリのステータスとして、脆弱性のあるライブラリがContrastで検出された場合のデフォルトステータスです。