Chapter 3: 脆弱性分析
既知の脆弱性を CVSS スコアで判定
脆弱性とは
脆弱性(ぜいじゃくせい)とは、ソフトウェアに含まれるセキュリティ上の弱点のことです。悪意のある攻撃者がこの弱点を利用すると、データの漏洩や不正アクセスなどの被害が発生する可能性があります。
あなたのプロジェクトが使っているライブラリ(外部の部品)に脆弱性が見つかった場合、そのライブラリを更新するなどの対策が必要です。Dependa はこうした脆弱性を自動的に検出し、リスクの度合いを教えてくれます。
CVSS スコアと重大度
CVSS(Common Vulnerability Scoring System)は、脆弱性の深刻さを 0.0~10.0 の数値で表す国際的な基準です。スコアが高いほど危険度が高いことを意味します。
| 重大度 | CVSS スコア | 説明 |
|---|---|---|
| Critical | 9.0 ~ 10.0 | 非常に危険。早急な対策が必要です。 |
| High | 7.0 ~ 8.9 | 危険度が高い。速やかな対策を推奨します。 |
| Medium | 4.0 ~ 6.9 | 中程度のリスク。計画的に対処してください。 |
| Low | 0.1 ~ 3.9 | リスクは低め。状況に応じて対応してください。 |
ローカル照合
Dependa にはアプリ内にアドバイザリデータベース(JSON 形式)が組み込まれています。スキャン時に、検出された各ライブラリのバージョンをこのデータベースと照合し、既知の脆弱性を検出します。
- インターネット接続がなくても利用可能です。
- Free プランでもローカル照合は使えます。
- データベースはアプリの更新時に最新化されます。
オンライン照合(OSV API)PRO
Pro プランでは、Google が提供する OSV(Open Source Vulnerabilities)API を使ったオンライン照合が利用できます。
- ローカルデータベースより新しい脆弱性情報も検出できます。
- スキャン時にインターネット接続が必要です。
- 設定画面の「オンライン脆弱性照合」を ON にすると有効になります。
ローカル照合とオンライン照合の結果はマージ(統合)され、重複なく一覧表示されます。
ポリシー判定ルール
Dependa はスキャン結果に基づき、自動的にポリシー判定を行います。
FAIL になる条件: Critical または High の脆弱性が 1 件でも検出された場合、ポリシー判定は FAIL となります。
Medium 以下の脆弱性のみの場合は PASS となりますが、リスクがゼロではないため、計画的な対応を推奨します。
Chapter 3: Vulnerability Analysis
Identify known vulnerabilities by CVSS score
What Are Vulnerabilities?
A vulnerability is a security weakness found in software. If a malicious attacker exploits this weakness, it can lead to data leaks, unauthorized access, or other security incidents.
If a vulnerability is discovered in a library (external component) that your project depends on, you need to take action, such as updating that library. Dependa automatically detects these vulnerabilities and indicates the level of risk.
CVSS Score and Severity
CVSS (Common Vulnerability Scoring System) is an international standard that rates the severity of vulnerabilities on a scale from 0.0 to 10.0. A higher score means a greater level of danger.
| Severity | CVSS Score | Description |
|---|---|---|
| Critical | 9.0 ~ 10.0 | Extremely dangerous. Immediate action is required. |
| High | 7.0 ~ 8.9 | High risk. Prompt action is recommended. |
| Medium | 4.0 ~ 6.9 | Moderate risk. Plan to address in a timely manner. |
| Low | 0.1 ~ 3.9 | Low risk. Address as appropriate. |
Local Lookup
Dependa includes a built-in advisory database (JSON format). During scanning, each detected library version is compared against this database to identify known vulnerabilities.
- Works without an internet connection.
- Available on the Free plan.
- The database is updated when the app is updated.
Online Lookup (OSV API) PRO
With the Pro plan, you can use Google's OSV (Open Source Vulnerabilities) API for online lookups.
- Can detect newer vulnerabilities not yet in the local database.
- Requires an internet connection during scanning.
- Enable "Online Vulnerability Lookup" in the Settings screen to activate.
Results from local and online lookups are merged and displayed without duplicates.
Policy Rules
Dependa automatically evaluates policy based on scan results.
FAIL condition: If even one Critical or High severity vulnerability is detected, the policy result will be FAIL.
If only Medium or lower vulnerabilities are found, the policy result is PASS. However, since the risk is not zero, planned remediation is recommended.