Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

...

ツール概要

Parasoft OWASP Dependency Check Pack のドキュメントは、次のURL(以下、ユーザーガイド)から参照できます。
https://docs.parasoft.com/display/DTP20202JPDTP20211JP/OWASP+Dependency+Check+Pack

要件

ユーザーガイドの [要件] をご参照ください。

インストールモジュール

dependency-check-pack-20202021.21.0-2020102220210428.zip (security-bundle-20202021.21.0.zip に含まれます)

新規インストール

モジュール(dependency-check-pack-20202021.21.0-2020102220210428.zip)を解凍することでインストールは完了します。

利用手順

以下は、Parasoft OWASP Dependency Check Pack で OWASP dependency-check ツールの結果を読み取り、
Parasoft HTML レポートを生成、結果を Parasoft DTP に送信する手順です。

※前提として、OWASP dependency-check ツールでXML形式のレポートを生成しておく必要があります。
 OWASP dependency-check については、以下からご確認ください。
 https://jeremylong.github.io/DependencyCheck/

  1. Parasoft DTP の接続設定
    Parasoft OWASP Dependency Check Pack インストールディレクトリ直下の settings.properties ファイルを
    テキストエディタで開き、以下の設定を行います。

     ・dtp
    • dtp.server

      DTP
    • DTP サーバーのホスト名を指定します。

      - 
    • 例) dtp.server=localhost

     
     ・dtp
    • dtp.port

      DTP
    • DTP のポート番号を指定します。デフォルトは 8443 です。

       -
    • 例) dtp.port=8443

     
     ・dtp
    • dtp.user

      DTP
    • DTP 認証用のユーザー名を指定します。

       -
    • 例) dtp.user=admin

     
     ・dtp
    • dtp.password

      DTP
    • DTP 認証用のパスワードを指定します。

       -
    • 例) dtp.password=admin

     
     ・dtp
    • dtp.project

      結果の送信先となる
    • 結果の送信先となる 既存の DTPプロジェクト名を指定します。

       -
    • 例) dtp.project=Default Project

     
     ・build
    • build.id

      結果を関連付けるビルドをIDで指定します。
    • 結果を関連付けるビルドをIDで指定します。

      ビルドID
    • ビルドID は静的解析ツールで設定されているビルドID と一致している必要があります。 

      例
    • ) build.id=Default Project-2019-09-19

      ビルドID

    • ビルドID については、 以下からご確認ください。

      
  2. Parasoft OWASP Dependency Check Pack の実行
    Parasoft OWASP Dependency Check Pack インストールディレクトリ直下の


    dependencycheck.bat または、dependencycheck.sh を使用します。
    -results.file パラメーターを使って OWASP dependency-check ツールで生成したXMLレポートを指定して、スクリプトを実行します。

     ・例

    )

      Windows
    • Windows : dependencycheck.bat -results.file="C:\Users\admin\Desktop\dependency_check.xml"

      Linux
    • Linux : dependencycheck.sh -results.file="/Users/admin/Desktop/dependency_check.xml"

      dependencycheck
    • dependencycheck.bat -results.file="C:\Users\admin\Desktop\dependency-check-report.xml"


    •  

      ※実行後のコンソールログに以下のような「セットアップの問題」が出力されることがあります。

     「セットアップの問題」が出力された場合、ツールが正常に実行されていない可能性がありますので、
      
     ---
     解析中に次のセットアップの問題が発生しました

    •   解析中に次のセットアップの問題が発生しました:

     Rule
    •   Rule CRITICALHIGH does not exist in the rulemap file. Please add this rule to the rulemap file.

     Rule
    •   Rule HIGHMEDIUM does not exist in the rulemap file. Please add this rule to the rulemap file.

     ---

  3.  結果の確認
    Parasoft OWASP Dependency Check Pack 実行後は、結果を Parasoft HTML レポート または、Parasoft DTP から確認することができます。

...

    • Parasoft HTML レポート

...

    • Parasoft OWASP Dependency Check Pack インストールディレクトリ直下の reports ディレクトリに生成されます。

...

    • Parasoft DTP

...

    • 結果の確認方法については、以下からご確認ください。

...

...