Skip to main content

脆弱性の管理ポリシー

脆弱性ポリシーを使用して、組織のRulesAdminまたはAdminロールのある管理者が、ポリシーのトリガー時に脆弱性のステータスを変更したり、確認のためにフラグを立てる基準を定義することができます。ポリシーを定義する基準には、脆弱性のルール、深刻度、アプリケーション、ルートなどを指定できます。

脆弱性がこれらのポリシーに違反する場合、アプリケーション内で通知するように設定できます。管理者には、Contrastアプリケーション内とEメールの両方で違反が通知されます。

自動検証ポリシー

自動検証ポリシーは、特定の条件を満たす脆弱性のステータスを自動的に修復済 - 自動検証に変更します。

  • 2つの異なるセッションで同じルートがContrastで検出されない場合、脆弱性のステータスを修復済 - 自動検証にします。2つのセッションでまったく同じセッションメタデータが報告された場合、Contrastは2つのセッションを1つのセッションと見なします。

    この処理は、ルートベースのトリガーを使用する脆弱性ポリシーに適用されます。

  • Contrastで以前に修復済 - 自動検証のステータスにされた脆弱性が、同じルートを実行した際に再度検出された場合は、その脆弱性のステータスは報告済に変わります。その場合、脆弱性の詳細ページにある「アクティビティ」タブに情報が更新されます。

  • 自動検証ポリシーを無効または削除した後に、Contrastで以前に修復済 - 自動検証のステータスにされた脆弱性が、同じルートを実行した際に再度検出された場合は、その脆弱性のステータスは報告済に変わります。その場合、脆弱性の詳細ページにある「アクティビティ」タブに情報が更新されます。

自動検証ポリシーには、ルートベースまたは時間ベースのトリガーを設定できます。

違反ポリシー

違反ポリシーは、脆弱性が特定の基準に一致した場合に、違反の通知をトリガーします。トリガーされると、脆弱性一覧で脆弱性が赤字で表示されます。脆弱性のフィルタを使用すると、ポリシー違反の脆弱性のみを表示できます。

Image shows a vulnerability in red with the policy tooltip message

ポリシーのトリガー

以下のトリガータイプが、脆弱性ポリシーに有効です。

  • ルート:特定のルートで、脆弱性が検出された場合、または検出されなかった場合に、自動検証ポリシーをトリガーします。このトリガータイプは、Contrastがルート判定できるサポート対象のテクノロジで利用できます。

  • 時間:一定の日数が経過すると、違反ポリシーまたは自動検証ポリシーをトリガーします。

ルートベースの自動検証のためのセッションメタデータ

ルートベースの脆弱性ポリシーで最適な結果を得るために、エージェントの設定ファイルにセッションメタデータを追加します。

  • 独自のセッションメタデータを指定することで、Contrastでルート比較に基づいて脆弱性が修復されたかどうかが検証できるよう、検出内容のベースラインが作成できます。

  • テストラン(testRun)のセッションメタデータフィールドを使用すると、実行中にエージェントやアプリケーションを何度も再起動した場合でも、1つのテスト実行全体でルートと脆弱性を確実に追跡できます。

    Contrastでは、一意のメタデータと値のペアごとに、一意のセッションIDが作成されます。 この方法でセッションメタデータを使用すれば、複数のテスト実行が 1 つのテストセッションとして統合されます。この操作は、同じルートで異なるコードパスをテストする際などに便利です。

環境

最適な結果を得るためには、テストの自動化を行っている環境に脆弱性ポリシーを適用するよう設定します。複数のサーバで同じアプリケーションを実行している場合は、各サーバが開発、QAまたは本番環境用に設定されていることを確認してください。

複数ポリシーの処理

複数のポリシーが同じ脆弱性に影響を与える場合、以下のルールによってContrastの処理が決定されます。

  • 自動検証ポリシーは、違反ポリシーよりも優先されます。例えば、最初に自動検証の期限が適用される場合、脆弱性はクローズされフラグは立てられません。

  • 2つの時間ベースのトリガーが影響する場合は、期限が最も近い処理が先に適用されます。例えば、最初に違反ポリシーの期限が適用される場合、脆弱性に違反フラグが立てられ、その後に期限が適用されて脆弱性が自動検証されます。