このセクションの内容:
はじめに
OWASP Dependency-Check は、Java および .NET プロジェクトをスキャンし、既知の脆弱なコンポーネントの使用を特定するオープンソースのツールです。OWASP Dependency-Check オープンソース ツールの公式ページは、こちら から見ることができます。Parasoft OWASP Dependency Check Pack は、OWASP Dependency-Check ツールの結果を読み取り、標準化されたフォーマットで Parasoft DTP に脆弱性をレポートします。 これにより、DTPはウィジェットにデータを表示し、脆弱性に対処するための修復パスを提供できます。
脆弱性は、DTP で OWASP Top 10 2021 A6: Vulnerable and Outdated Components ガイドラインの違反としてレポートされます。OWASP Dependency-Check Pack のデータを Parasoft Jtest または dotTEST のコード解析結果とマージして、OWASP セキュリティ コンプライアンスを完全に実装することができます。
要件
- Java Runtime 11。
- X-Server へのアクセス (Linux のみ)。
DISPLAY
変数を設定し、xhost
コマンド (xtest +
の実行) のアクセス制御を無効にする必要があります。この設定は、HTML レポートの概要の画像を正しく表示するために必要です。 - XML 形式の OWASP Dependency-Check の結果。詳細については OWASP Dependency-Check のドキュメントを参照してください。
- OWASP Dependency-Check 8.2.1 がサポートされています。
デプロイメント
- 目的の場所に dependency-check-pack-<VERSION>.zip ファイルの内容を展開します。Windows のデフォルトの解凍機能など、一部のファイル解凍ツールは、OWASP Dependency Check Pack を展開するためのディレクトリを作成します。ファイル解凍ツールがディレクトリを自動的に作成しない場合、インストール ホーム ディレクトリを作成することを推奨します。
- DTP 環境に Security Compliance Pack をインストールする操作指示に従います。この手順は、OWASP Dependency Check Pack を実行するために必須ではありませんが、DTP で結果を表示するために必要です。
OWASP Dependency-Check のルール ドキュメント
DTP で OWASP Dependency-Check のルール ドキュメントを表示するには、OWASP Dependency Check Pack に同梱されているルールを DTP のルール ディレクトリにコピーする必要があります。
<DEPENDENCY_CHECK_INSTALL>/rulesdoc/dependencycheck/
ディレクトリの内容を <DTP_INSTALL>/tomcat/webapps/grs/rulesdoc/
ディレクトリにコピーします。
ルールをコピーした後、OWASP Dependency-Check の違反に関連するドキュメントが 違反エクスプローラー の [ドキュメント] タブなどの DTP インターフェイスで利用できるようになります。
DTP への接続
OWASP Dependency Check Pack は個別のツールであり、結果を DTP プロジェクトに送るために DTP に接続する必要があります。インストール ディレクトリにある settings.properties ファイルで以下の設定を指定します。
dtp.server
DTP サーバーのホスト名を指定します。
dtp.port
DTP のポート番号を指定します。デフォルトは 8443 です。
dtp.user
DTP 認証のユーザー名を指定します。
dtp.password
DTP 認証用のパスワードを指定します。-encodepass パラメーターを付けて dependency.sh または dependency.bat を実行することで、DTP パスワードを暗号化できます。例:
./dependencycheck.sh -encodepass=<MYPASSWORD>
dtp.project
結果をリンクする 既存の DTP プロジェクト名を指定します。
build.id
データを関連付けるビルドを指定します。正確な結果を得るために、ビルド ID は静的解析ツールで設定されているビルド ID と一致している必要があります。
使用方法
まだ行っていない場合は、OWASP Dependency-Check を実行します。結果は XML ファイルに出力する必要があります。OWASP Dependency-Check Pack を使用してこれらの結果を Parasoft DTP に送信するには、次の操作を行います。
- コマンド プロンプトを開き、OWASP Dependency-Check Pack のインストール ディレクトリに移動します。
-results.file
パラメーターを使って OWASP Dependency-Check の結果を指定して、.BAT または .SH スクリプトを実行します。例:./dependencycheck.sh -results.file="/Users/admin/Desktop/dependency_check.xml"
-results.file
が唯一の必須パラメーターですが、次の任意のパラメーターを渡すことができます。-parasoft.local.storage.dir
この設定は、生成されたログ ファイルの場所を指定します。推奨する場所は
${project.base.dir}/.dependencycheck
です。例:
-parasoft.local.storage.dir=.dependencycheck
-settings
デフォルトでは、OWASP Dependency-Check Pack はインストール ディレクトリ内の settings.properties ファイルを参照しますが、この設定を使用して別の構成ファイルを指定することもできます。例:
-settings=C:\my-team-configs\my-settings.properties
結果の参照
OWASP Dependency-Check Pack を実行した後、結果は 2 種類の方法で出力されます。
- ローカルの Parasoft HTML レポートとして。ローカルの HTML レポート (およびレポートに渡される XML データ) は、実行後に <DTP_INSTALL>/reports ディレクトリに保存されます。
- DTP に送信され、ウィジェット、レポート、およびその他のビジュアルな UI に表示されます。脆弱性は、DTP で OWASP Top 10 2021 A6: Vulnerable and Outdated Components ガイドラインの違反としてレポートされます。DTP で違反を確認する方法については「OWASP Compliance」を参照してください。