インテリジェント修正ガイダンスの登場

2月 21, 2025

開発者は修正方法を探すのにもう時間を費やす必要はない。Contrastの修正方法タブに、AIによって各脆弱性に合わせて生成される修正方法を表示できるようになった。

長年にわたり、Contrastのユーザは修正方法タブにある詳細な修正・対策方法を使用してくれている。この従来のガイダンスでは、認識された多くの各脆弱性を解決する方法について、アプリケーションの言語に合わせて詳細な情報とコード例で説明している。しかし今や、この素晴らしい機能をさらに向上させたのだ！

生成AIの力を利用することで、脆弱性イベントの詳細やアプリケーションのライブラリなど包括的なコンテキストに基づいて、特定の脆弱性に対するカスタマイズされた修正・対策方法を生成できるようにした。これにより、開発者は自分で対策を考えたり、複数の選択肢を検討したりすることなく、脆弱性の特定と同時に専用の解決策が得られる。作業が効率化され、問題を早く解決できるようになる。

では、Contrastがどのように生成AIの技術を利用して、専用の解決策を提供するのかを詳しく見ていこう。修正の詳細情報が提供される際に、「インテリジェント修正ガイダンス」機能が、AWS(Amazon Web Service)のBedrockサービスからサンドボックス化されたAnthropic LLMを呼び出す。

(注：お客様のセキュリティとデータプライバシーは、Contrastにとって最優先事項。サンドボックス化された大規模言語モデル(LLM)のため、Anthropicモデルのトレーニングに顧客データは使用されない。詳細については、Anthropic on Bedrockの利用規約のコピーを参照：https://www.contrastsecurity.com/hubfs/Anthropic-on-Bedrock_Commercial_Terms.pdf)

「インテリジェント修正ガイダンス」の使用を開始するには、まずこの機能を有効にする必要がある。「組織の設定」で「インテリジェント修正ガイダンス」を有効にしたら、簡単に使い始めることができる。まず、脆弱性の修正方法タブを開く。次に、Contrast AIを利用という新しいボタンをクリックすると、その脆弱性に対する「インテリジェント修正ガイダンス」がリクエストされる。

図1： Use Contrast AI (Contrast AIを利用)ボタン

「インテリジェント修正ガイダンス」の情報は脆弱性ごとに異なるが、常に基本的なフォーマットは同じだ。この新機能の価値をよりよく理解するために、その構成を見てみよう。

修正オプション — Contrastでのセキュリティ設定に関する簡単な説明の後に、ガイダンスには脆弱性に対して2〜7個の異なる修正オプションが提示される。各オプションについて、簡単にどのような修正であるかを説明し、脆弱性のイベントの情報と概要から判明していること基づいてコード例が示される。そして、最後にそのコード例で問題が解決する理由の説明で構成される。
ライブラリの解析 — 次に、ガイダンスには使用すべきライブラリ・推奨するライブラリの情報が表示される(該当する場合)。アプリケーションの既存のライブラリのうち、脆弱性を修正するために使用できるライブラリ、インポートが必要な可能性のある新しいライブラリ、高または重大なCVEの検出結果によってアップグレードが必要な関連ライブラリ(存在する場合)などについて解析される。
ベストプラクティス — そして、ガイダンスにはこの脆弱性に対する開発のベストプラクティスが記載される。
重要なメソッドとクラス — このセクションでは、脆弱性を修正するために重要なコードの機能をわかりやすく説明する。
まとめ — ガイダンスは、アプリケーションのコードでこの問題を修正するために推奨される修正方法の要約で終わる。

図 2：インテリジェント修正ガイダンスの例

Contrastは、お客様がアプリケーション層の脅威を検知し、対応できるよう支援することに注力している。脆弱なコードを修正する必要性と苦労は理解している。「インテリジェント修正ガイダンス」によって、特定のアプリケーションの脆弱性を迅速に解決し、終わりのないセキュリティ警告のサイクルを止め、実行可能な具体的な手順を得ることができるのだ。

お問い合わせ

関連記事：