サポートされる脆弱性スキャンフォーマット

アプリケーションのライフサイクル全体にわたってCVEとエクスポージャを評価するための脆弱性スキャンファイルを以下の形式で生成します。 その後、ファイルをConcertにアップロードすることで、アプリケーションや環境に影響を与える脆弱性を評価し、優先順位をつけることができる。

注: 脆弱性スキャンファイルまたはエクスポージャーファイルをアップロードする際には、すべての列の値の先頭または末尾に空白がないことを確認してください。
Concert」がサポートする脆弱性スキャンの種類を以下に示す:
表 1. CVEスキャンの種類
ファイルの種類 スキャン・ソース ファイル形式
脆弱性スキャン(イメージ) Prisma Cloud csv、xls、xlsx、json
Sysdig CSV、XLS、XLSX
Aqua Security JSON
Grype JSON
その他1 CSV、XLS、XLSX
脆弱性スキャン(ソースコード) Mend CSV、XLS、XLSX
Trivy JSON
Grype JSON
その他1 CSV、XLS、XLSX
脆弱性スキャン(仮想マシン) Qualys (ランタイムCVEのみ) CSV、XLS、XLSX
Nessus csv、xls、xlsx、json
その他1 CSV、XLS、XLSX
注: 上記の形式に加えて、 Concert は、仮想マシン(VM)スキャン用の AWS Inspector スキャン・レポートもサポートしていますが、API を介してのみサポートしています。
表 2. CVE以外のエクスポージャースキャンタイプをサポート
ファイルの種類 スキャン・ソース ファイル形式
ダイナミック・スキャン2 Zap JSON
その他1 CSV、XLS、XLSX
静的スキャン3 Concert JSON、CSV
SonarQube JSON、CSV
注:'ConcertUIは、2MB未満のファイルのアップロードをサポートしています。 2MB以上のファイルをアップロードするには、APIオプションを使用してください。

フォーマット脆弱性スキャン(イメージ、ソースコード、VM)および暴露(動的および静的)用のカスタム Concert フォーマット(CSV、XLS、XLSX)

注:サポートされているツール以外を使用する場合、脆弱性スキャンはConcertの脆弱性スキャン・フォーマットに従わなければならないConcert
注意以下の表にあるすべてのヘッダープロパティは、関連する値がない場合でも、脆弱性スキャンCSVに存在する必要があります。 値は、Value requiredとして追加されたヘッダープロパティに対してのみ要求されるが、すべてのプロパティはヘッダ行に含まれなければならない。

  • 脆弱性スキャン(イメージ)

    公開されている Concert GitHub リポジトリのカスタム脆弱性スキャンテンプレート(CSV 形式)を参照してください: カスタム画像スキャンサンプル

    表 3. CSV形式のカスタム脆弱性スキャン(イメージ)レポートのプロパティ
    ヘッダー・プロパティー
    注意対応する値がない場合でも、すべてのヘッダーを出力ファイルに含めなければならない。
    CVE (値必須) CVE の一意名または識別子
    画像 (必須Docker画像の名前
    パッケージ 環境内のパッケージ名
    パッケージのバージョン パッケージのバージョン
    パッケージ・パス パッケージファイルが格納されている環境ディレクトリ内のファイルパスを示します
    重大度 脆弱性の深刻度を示す(重要、重要、高、中、低)
    スコア セキュリティ脆弱性に優先順位をつけるための共通脆弱性採点システム(CVSS)スコア
    hasFix すでに修正されているかどうかでY/Nを決める
    修正済みバージョン パッケージ修正バージョン
    説明 CVEの説明
    タグ 画像Dockerの名前
    ダイジェスト 画像Dockerの名前

  • 脆弱性スキャン(ソースコード)

    公開されている Concert GitHub リポジトリのカスタム脆弱性スキャンテンプレート(CSV 形式)を参照してください: カスタムコードスキャンサンプル

    表 4. CSV形式のカスタム脆弱性スキャン(ソースコード)レポートのプロパティ
    ヘッダー・プロパティー
    注意対応する値がない場合でも、すべてのヘッダーを出力ファイルに含めなければならない。
    CVE (値必須) CVE の一意名または識別子
    リポジトリーURL (値必須 )リポジトリの URL
    リポジトリー名 リポジトリ名
    パッケージ 環境内のパッケージ名
    パッケージのバージョン パッケージのバージョン
    パッケージ・パス パッケージファイルが格納されている環境ディレクトリ内のファイルパスを示します
    重大度 脆弱性の深刻度を示す(重要、重要、高、中、低)
    スコア セキュリティ脆弱性に優先順位をつけるための共通脆弱性採点システム(CVSS)スコア
    hasFix すでに修正されているかどうかでY/Nを決める
    修正済みバージョン パッケージ修正バージョン
    説明 CVEの説明
    コミット リポジトリにコミットする
    ブランチ リポジトリ内のブランチ

  • 脆弱性スキャン(仮想マシン)

    公開されている Concert GitHub リポジトリのカスタム脆弱性スキャンテンプレート(CSV 形式)を参照してください: カスタムVMスキャンサンプル

    表 5. カスタム脆弱性のプロパティ CSV 形式での脆弱性スキャン(仮想マシン)レポート
    ヘッダー・プロパティー
    注意対応する値がない場合でも、すべてのヘッダーを出力ファイルに含めなければならない。
    CVE (値必須) CVE の一意名または識別子
    ホストIPAアドレス (値必須)ホストのIPアドレス
    ホスト名 ホストの名前
    パッケージ 環境内のパッケージ名
    パッケージのバージョン パッケージのバージョン
    パッケージ・パス パッケージファイルが格納されている環境ディレクトリ内のファイルパスを示します
    重大度 脆弱性の深刻度を示す(重要、重要、高、中、低)
    スコア セキュリティ脆弱性に優先順位をつけるための共通脆弱性採点システム(CVSS)スコア
    hasFix すでに修正されているかどうかでY/Nを決める
    修正済みバージョン パッケージ修正バージョン
    説明 CVEの説明

  • 露出ダイナミック・スキャン/スタティック・スキャン

    公開されている Concert GitHub リポジトリのカスタム脆弱性スキャンテンプレート(CSV 形式)を参照してください: カスタム動的スキャンサンプルと カスタム静的スキャンサンプル

    表 6. カスタム脆弱性スキャン(動的スキャン/静的スキャン)レポートのプロパティ(CSV形式
    ヘッダー・プロパティー
    注意対応する値がない場合でも、すべてのヘッダーを出力ファイルに含めなければならない。
    ルールID (値必須) 違反したルールの識別子
    ファイル場所 (必須) ファイルの場所
    重大度 特定のレコードの重大度レベル
    行番号 問題が検出されたコード行番号
    状況 問題の状況
    問題の説明 問題の説明
    初見時 結果が最初に検出された時刻
    最終目撃時間 結果が最後に検出された時刻
    ソリューション 問題の解決
    cwe id ソフトウェアまたはハードウェアの弱点タイプに対する一意の識別子
    ツール名 実行を生成したツールの名前
    問題タイプ 問題の種類
    スコア 重症度を示すスコア

フォーマット CycloneDX (JSON)での脆弱性開示レポート(VDR)(画像およびソースコードのスキャン用

Trivy, Grype は、 Concert でサポートされている脆弱性スキャンツールで、 CycloneDX 形式の脆弱性開示レポート(VDR) ファイルを JSON として生成します。 脆弱性開示報告書(VDR) には、サードパーティおよびオープンソースソフトウェアから継承されたものを含む脆弱性に関する情報、およびお客様のアプリケーションコンポーネントやサービスに影響を与える未知の脆弱性に関する情報が記載されています。

脆弱性開示報告書は、脆弱性スキャンのベストプラクティスとして NIST SP 800-161に定義されている。 このファイルには、報告された脆弱性がアプリケーションのコンポーネントや製品に与える影響に関する詳細と、修正手順が含まれています。 Concert は、VDR ファイルに関するすべての NIST 勧告に沿った 仕様をサポートしています。 CycloneDX 詳しくは CycloneDX GitHub リポジトリを参照のこと。

公開されている Concert GitHub リポジトリにある CycloneDX 脆弱性スキャンテンプレート(VDR フォーマット)を参照してください:

VDRファイルは、 CycloneDX スキーマ定義に従わなければならない。

注意:生成されたCycloneDXファイルを編集しないでください。 ファイルが不正に変更された場合、脆弱性評価は正常に処理されませんCycloneDX

形式: Prisma Cloud 脆弱性スキャンレポート(CSV、XLS、XLSX、JSON)(画像スキャン用

コンサート固有の形式と同様に、 Prisma Cloud ツールを使用して、CSV、XLS、XLSX、または JSON 形式の脆弱性スキャン・レポートを生成できます。 そして、生成されたファイルをConcertにアップロードして、コンテナ・イメージに対して報告された CVE 脆弱性を評価することができる。
注:生成されたファイルを編集する必要はありません。 Concert はデータをそのまま取り込む。
公開されている Concert GitHub リポジトリにある Prisma Cloud 脆弱性スキャンテンプレートを参照してください:

形式: Sysdig 画像スキャン用脆弱性スキャンレポート(CSV、XLS、XLSX

Sysdigツールを使用すると、CSV、XLS、XLSX形式の脆弱性スキャンレポートを生成できます。 そして、生成されたファイルをConcertにアップロードして、コンテナ・イメージに対して報告された CVE 脆弱性を評価することができる。
注:生成されたファイルを編集する必要はありません。 Concert はデータをそのまま取り込む。

公開されている Concert GitHub リポジトリの Sysdig 脆弱性スキャンテンプレート(CSV 形式)を参照してください: イメージスキャン Sysdig サンプル

形式: Aqua Security イメージスキャンの脆弱性スキャンレポート(JSON)

Aqua Securityを使用して、JSON形式の脆弱性スキャン・レポートを生成することができる。 そして、生成されたファイルをConcertにアップロードして、コンテナ・イメージに対して報告された CVE 脆弱性を評価することができる。
注:生成されたファイルを編集する必要はありません。 Concert はデータをそのまま取り込む。

公開されている Concert GitHub リポジトリの Aqua Security 脆弱性スキャンテンプレートを参照してください: イメージスキャン Aqua Security サンプル

形式: Mend 脆弱性スキャンレポート(CSV、XLS、XLSX、ソースコードスキャン用

Mendツールを使用すると、CSV、XLS、XLSX形式の脆弱性スキャンレポートを生成できます。 そして、生成されたファイルを「Concert」にアップロードすることで、ソースコードに対して報告されたランタイムCVEを評価することができます。
注:
  • 生成されたファイルを編集する必要はない。 Concert はデータをそのまま取り込む。

公開されている Concert GitHub リポジトリの Mend 脆弱性スキャンテンプレート(XLSX 形式)を参照してください: メンドスキャンサンプル

形式: Qualys VM スキャンの脆弱性スキャンレポート(CSV、XLS、XLSX

Qualysツールを使用すると、CSV、XLS、XLSX形式の脆弱性スキャンレポートを生成できます。 その後、生成されたファイルをConcertにアップロードすることで、仮想マシン(VM)やホストに対して報告されたランタイムCVEを評価することができる。
注:
  • Concert は実行時 CVEs の 形式のみをサポートしています。 Qualys これは、VMやホストに対して報告されたCVEや脆弱性に対して、Concertが特定のヘッダー構造のみをサポートすることを意味する。
  • 生成されたファイルを編集する必要はない。 Concert はデータをそのまま取り込む。

公開されている Concert GitHub リポジトリの Qualys 脆弱性スキャンテンプレート(CSV 形式)を参照してください: VMスキャンQualysサンプル

形式: Nessus VM スキャンの脆弱性スキャンレポート(CSV、XLS、XLSX、JSON

Nessus ツールを使用して、CSV、XLS、XLSX、またはJSON形式の脆弱性スキャンレポートを生成することができます。 その後、生成されたファイルをConcertにアップロードすることで、仮想マシン(VM)やホストに対して報告されたランタイムCVEを評価することができる。
注: 生成された Nessus のスキャンファイルには、以下のヘッダーが必要です
  • CVE
  • IP アドレス
  • ファミリー
  • 重大度
  • CVSS V3 基本値
  • 説明
  • DNS 名
  • 脆弱性公開日
公開されている Concert GitHub リポジトリにある Nessus 脆弱性スキャンテンプレートを参照してください:

形式: AWS Inspector VM スキャンの脆弱性スキャンレポート(API のみ)

AWS Inspector ツールを使用して、仮想マシン(VM)の脆弱性スキャンレポートを生成できます。 Concert はVMスキャン用の Inspectorフォーマットをサポートしているが、APIを通じてのみである。 AWS スキャンレポートをアップロードするには、 Concert APIを使用します。 レポートはJSON形式でなければならない。

VM スキャン用の AWS Inspector フォーマットを Concert から Workflow にアップロードすることもできます。 詳細については、 「 AWS Inspector からスキャンファイルを取得する 」のトピックを参照してください。

公開されている Concert GitHub リポジトリの AWS Inspector 脆弱性スキャンテンプレート(JSON 形式)を参照してください: VM スキャン AWS Inspector サンプル

Format: Dynamic Application Security Testing vulnerability scan report (JSON) for ダイナミック・スキャン

Dynamic Application Security TestingDAST)ツールを使用することができる。例えば、JSON形式で脆弱性スキャン・レポートを生成するには、ZapまたはZed Attack Proxyツールを使用することができる。 その後、生成されたファイルをダイナミックスキャンとして Concertにアップロードし、Web アプリケーションに関連する非 CVE エクスポージャを評価することができます。
注:生成されたファイルを編集する必要はありません。 Concert はデータをそのまま取り込む。

公開されている Concert GitHub リポジトリの Dynamic Application Security Testing 脆弱性スキャンテンプレートを参照してください: DAST JSONサンプル

Format: Static Application Security Testing vulnerability scan report (JSON) for スタティック・スキャン

Static Application Security TestingSAST)ツールを使用して、Static Analysis Results Interchange FormatSARIF)データを生成できます。 次に、生成されたSARIFファイルをJSONとしてConcertにアップロードし、スタティックスキャンとしてソースコードリポジトリに関連する非CVEエクスポージャーを評価することができます。
注:生成されたファイルを編集する必要はありません。 Concert はJSON形式のデータをそのまま取り込む。

公開されている Concert GitHub リポジトリの Static Application Security Testing 脆弱性スキャンテンプレートを参照してください: SAST JSONサンプル

Concert は、 からの露光静的スキャンのスキャンレポートをサポートしています。 SonarQube

公開されている Concert GitHub リポジトリの SonarQube 脆弱性スキャンテンプレート(CSV 形式)を参照してください: SonarQube サンプル