このセクションの内容:
はじめに
OWASP Dependency-Check は、Java および .NET プロジェクトをスキャンし、既知の脆弱なコンポーネントの使用を特定するオープンソースのツールです。OWASP Dependency-Check オープンソース ツールの公式ページは、こちらから見ることができます。Parasoft OWASP Dependency Check Pack は、OWASP Dependency-Check ツールの結果を読み取り、標準化されたフォーマットで Parasoft DTP に脆弱性をレポートします。 これにより、DTPはウィジェットにデータを表示し、脆弱性に対処するための修復パスを提供できます。
脆弱性は、DTP で OWASP Top 10 2021 A6: Vulnerable and Outdated Components ガイドラインの違反としてレポートされます。OWASP Dependency-Check Pack のデータを Parasoft Jtest または dotTEST のコード解析結果とマージして、OWASP セキュリティ コンプライアンスを完全に実装することができます。
要件
- Java Runtime 11。
- X-Server へのアクセス (Linux のみ)。
DISPLAY変数を設定し、xhostコマンド (xhost +の実行) のアクセス制御を無効にする必要があります。この設定は、HTML レポートの概要の画像を正しく表示するために必要です。 - XML 形式の OWASP Dependency-Check の結果。詳細については OWASP Dependency-Check のドキュメントを参照してください。
- OWASP Dependency-Check 8.2.1 がサポートされています。
デプロイメント
- 目的の場所に dependency-check-pack-<VERSION>.zip ファイルの内容を展開します。Windows のデフォルトの解凍機能など、一部のファイル解凍ツールは、OWASP Dependency Check Pack を展開するためのディレクトリを作成します。ファイル解凍ツールがディレクトリを自動的に作成しない場合、インストール ホーム ディレクトリを作成することを推奨します。
- DTP 環境に Security Compliance Pack をインストールする操作指示に従います。この手順は、OWASP Dependency Check Pack を実行するために必須ではありませんが、DTP で結果を表示するために必要です。
OWASP Dependency-Check のルール ドキュメント
DTP で OWASP Dependency-Check のルール ドキュメントを表示するには、OWASP Dependency Check Pack に同梱されているルールを DTP のルール ディレクトリにコピーする必要があります。
<DEPENDENCY_CHECK_INSTALL>/rulesdoc/dependencycheck/ ディレクトリの内容を <DTP_INSTALL>/tomcat/webapps/grs/rulesdoc/ ディレクトリにコピーします。
ルールをコピーした後、OWASP Dependency-Check の違反に関連するドキュメントが 違反エクスプローラー の [ドキュメント] タブなどの DTP インターフェイスで利用できるようになります。
DTP への接続
OWASP Dependency Check Pack は個別のツールであり、結果を DTP プロジェクトに送るために DTP に接続する必要があります。インストール ディレクトリにある settings.properties ファイルで以下の設定を指定します。
| dtp.url | DTP サーバーの URL を指定します。https:// プロトコルを必ず含めてください。DTP は、他の Parasoft ツールからの https:// 接続を必要とします。 |
| dtp.user | DTP 認証のユーザー名を指定します。 |
| dtp.password | DTP 認証用のパスワードを指定します。-encodepass パラメーターを付けて dependency.sh または dependency.bat を実行することで、DTP パスワードを暗号化できます。例:
|
| dtp.project | 結果をリンクする 既存の DTP プロジェクト名を指定します。 |
| build.id | データを関連付けるビルドを指定します。正確な結果を得るために、ビルド ID は静的解析ツールで設定されているビルド ID と一致している必要があります。 |
使用方法
まだ行っていない場合は、OWASP Dependency-Check を実行します。結果は XML ファイルに出力する必要があります。OWASP Dependency-Check Pack を使用してこれらの結果を Parasoft DTP に送信するには、次の操作を行います。
- コマンド プロンプトを開き、OWASP Dependency-Check Pack のインストール ディレクトリに移動します。
-results.fileパラメーターを使って OWASP Dependency-Check の結果を指定して、.BAT または .SH スクリプトを実行します。例:./dependencycheck.sh -results.file="/Users/admin/Desktop/dependency_check.xml"
-results.fileが唯一の必須パラメーターですが、次の任意のパラメーターを渡すことができます。-parasoft.local.storage.dir: この設定は、生成されたログ ファイルの場所を指定します。推奨する場所は
${project.base.dir}/.dependencycheckです。例:-parasoft.local.storage.dir=.dependencycheck-settings: デフォルトでは、OWASP Dependency-Check Pack はインストール ディレクトリ内の settings.properties ファイルを参照しますが、この設定を使用して別の構成ファイルを指定することもできます。例:
-settings=C:\my-team-configs\my-settings.properties
結果の参照
OWASP Dependency-Check Pack を実行した後、結果は 2 種類の方法で出力されます。
- ローカルの Parasoft HTML レポートとして。ローカルの HTML レポート (およびレポートに渡される XML データ) は、実行後に <DTP_INSTALL>/reports ディレクトリに保存されます。
- DTP に送信され、ウィジェット、レポート、およびその他のビジュアルな UI に表示されます。脆弱性は、DTP で OWASP Top 10 2021 A6: Vulnerable and Outdated Components ガイドラインの違反としてレポートされます。DTP で違反を確認する方法については「OWASP Compliance」を参照してください。
