Versions Compared

Old Version 5

changes.mady.by.user Jtest/dotTEST-Team

Saved on

compared with

New Version 6

changes.mady.by.user Jtest/dotTEST-Team

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

...

...

ツール概要

Parasoft OWASP Dependency Check Pack のドキュメントは、次のURL(以下、ユーザーガイド)から参照できます。
https://docs.parasoft.com/display/DTP542JP/OWASP+Dependency+Check+Pack

...

要件

ユーザーガイドの [要件] をご参照ください。

...

インストールモジュール

dependency-check-pack-10.4.2-20190514.zip (security-bundle-5.4.2-20190514.zip に含まれます)

...

新規インストール

モジュール(dependency-check-pack-10.4.2-20190514.zip)を解凍することでインストールは完了します。

...

利用手順

以下は、Parasoft OWASP Dependency Check Pack で OWASP dependency-check ツールの結果を読み取り、
Parasoft HTML レポートを生成、結果を Parasoft DTP に送信する手順です。

※前提として、OWASP dependency-check ツールでXML形式のレポートを生成しておく必要があります。
OWASP  OWASP dependency-check については、以下からご確認ください。
 https://jeremylong.github.io/DependencyCheck/■1.


  1. Parasoft DTP の接続設定
    Parasoft OWASP Dependency Check Pack インストールディレクトリ直下の settings.properties ファイルを
    テキストエディタで開き、以下の設定を行います。

...

  1.  ・dtp.server

...

  1.   DTP サーバーのホスト名を指定します。
      -  例) dtp.server=localhost
     

...

  1.  ・dtp.port

...

  1.   DTP のポート番号を指定します。デフォルトは 8443 です。
       - 例) dtp.port=8443
     

...

  1.  ・dtp.user

...

  1.   DTP 認証用のユーザー名を指定します。
       - 例) dtp.user=admin
     

...

  1.  ・dtp.password

...

  1.   DTP 認証用のパスワードを指定します。
       - 例) dtp.password=admin

...

  1.  
     ・dtp.project

...

  1.   結果の送信先となる 既存の DTPプロジェクト名を指定します。
       - 例) dtp.project=Default Project
     

...

  1.  ・build.id

...

  1.   結果を関連付けるビルドをIDで指定します。ビルドID は静的解析ツールで設定されているビルドID

...

  1. と一致している必要があります。 

...

  1.   例) build.id=Default Project-2019-09-19

...

  1.   ビルドID については、 以下からご確認ください。
      https://docs.parasoft.com/pages/viewpage.action?pageId=59147304#DTPの概念-ビルド

...


  2. Parasoft OWASP Dependency Check Pack の実行
    Parasoft OWASP Dependency Check Pack インストールディレクトリ直下の
    dependencycheck.bat または、dependencycheck.sh を使用します。
    -results.file パラメーターを使って OWASP dependency-check ツールで生成したXMLレポートを指定して、スクリプトを実行します。
    ・例)

...

  1.  Windows : dependencycheck.bat -results.file="C:\Users\admin\Desktop\dependency_check.xml"

...


  1.  Linux : dependencycheck.sh -results.file="/Users/admin/Desktop/dependency_check.xml"

...


  1.  dependencycheck.bat -results.file="C:\Users\admin\Desktop\dependency-check-report.xml"
     
    ※実行後のコンソールログに以下のような「セットアップの問題」が出力されることがあります。

...

  1.  「セットアップの問題」が出力された場合、ツールが正常に実行されていない可能性がありますので、
     Parasoft製品サポートまでお問い合わせください。
     
     ---

...

  1.  解析中に次のセットアップの問題が発生しました:

...

  1.  Rule CRITICALHIGH does not exist in the rulemap file. Please add this rule to the rulemap file.

...

  1.  Rule HIGHMEDIUM does not exist in the rulemap file. Please add this rule to the rulemap file.
     ---

...

  1.  結果の確認
    Parasoft OWASP Dependency Check Pack 実行後は、結果を Parasoft HTML レポート または、Parasoft DTP から確認することができます。

・Parasoft HTML レポート
Parasoft OWASP Dependency Check Pack インストールディレクトリ直下の reports ディレクトリに生成されます。

・Parasoft DTP
結果の確認方法については、以下からご確認ください。
https://docs.parasoft.com/display/DTP542JP/OWASP+Compliance