脆弱性のステータス

脆弱性のステータスは脆弱性グリッドに表示され、以下の表に示すいずれかになります。ステータスは編集することができます。

ステータス

このステータスを設定する状況

報告済

これは、Contrastで検出された脆弱性のデフォルトのステータスです。アプリケーションでデータフローが悪用される可能性があります。

確認済

ソースコードをレビューしたり、悪用したりすることで、この脆弱性が真の判定であると確認しています。

疑わしい

この脆弱性は、提供された詳細情報に基づくと真の判定のように見えるものの、その有効性を判断するにはさらに調査が必要です。

問題無し

この脆弱性は、ソースコードを変更することなく対処されています。このステータスを設定する場合は、以下のいずれかの理由を選択する必要があります。このステータスに設定された脆弱性は、再検出されても報告済に戻ることはありません。

  • 外部制御により防御された攻撃: この脆弱性が悪用されるのを防ぐために、WAFなどの別のコンポーネントが環境にあります。

  • 誤検知: この脆弱性の報告は誤っています。Contrastでこれが脆弱性と判定された理由を確認するには、してください。

  • 内部のセキュリティ制御を通過: アプリケーション内に、この脆弱性が悪用されるのを防ぐカスタムの修正コードがあります。

  • 信頼できるパワーユーザのみがアクセスできるURL: この脆弱性は、QAなどの特定の環境でのみ存在し、本番環境では存在しない場合もあります。

  • 上記以外:Contrastでこの脆弱性を解決するためにソースコードを変更する必要がない上記以外の理由です。上記以外を、脆弱性が問題無しである理由としてカスタム値に置き換えることができます。

修復済

この脆弱性は、アプリケーション内のソースコードやconfigファイルを変更することで修正されています。

修正完了

この脆弱性は、ソースコードの変更もしくは問題無しのステータスで指定された理由により修正されています。このステータスに設定された脆弱性は、再検出されても報告済に戻ることはありません(このオプションは、管理者のみが利用できます)。

修復済 - 自動検証

このステータスは、Contrastで脆弱性が一定の期間検出されておらず、脆弱性ポリシーの設定に基づいて修正されたとみなされる場合に、Contrastによって自動的に設定されます(ユーザは、このステータスを適用または変更することはできません)。

報告済確認済疑わしいに設定されたポリシーは、オープン中とみなされます。問題無し修復済修正完了、または修復済 - 自動検証に設定されたポリシーは、クローズされたとみなされます。脆弱性をオープンで絞り込んで、オープンステータスのみを表示したり、全てを選択してオープン中とクローズされたステータスの両方を表示したりできます。

FilterOpenAllVulns.png

エージェントから報告された脆弱性が、それまでにContrastで検出されたことがない場合、その脆弱性のエントリがContrastで新規に作成されます。この脆弱性が既に存在する場合、Contrastは、既存のエントリ、問題数、および最後に検出されてからの日数を更新します。全ての脆弱性が既存のステータスで再オープンされますが、前回修復済または修復済 - 自動検証に設定されていた場合は異なります。これらの脆弱性は、報告済として再オープンされます。