Parasoft OWASP Dependency Check Pack セットアップ

ツール概要

Parasoft OWASP Dependency Check Pack のドキュメントは、次のURL(以下、ユーザーガイド)から参照できます。
https://docs.parasoft.com/display/DTP20201JP/OWASP+Dependency+Check+Pack

要件

ユーザーガイドの [要件] をご参照ください。

インストールモジュール

dependency-check-pack-2020.1.0-20200423.zip (security-bundle-2020.1.0-20200423.zip に含まれます)

新規インストール

モジュール(dependency-check-pack-2020.1.0-20200423.zip)を解凍することでインストールは完了します。

利用手順

以下は、Parasoft OWASP Dependency Check Pack で OWASP dependency-check ツールの結果を読み取り、
Parasoft HTML レポートを生成、結果を Parasoft DTP に送信する手順です。

※前提として、OWASP dependency-check ツールでXML形式のレポートを生成しておく必要があります。
 OWASP dependency-check については、以下からご確認ください。
 https://jeremylong.github.io/DependencyCheck/


  1. Parasoft DTP の接続設定
    Parasoft OWASP Dependency Check Pack インストールディレクトリ直下の settings.properties ファイルを
    テキストエディタで開き、以下の設定を行います。
     ・dtp.server
      DTP サーバーのホスト名を指定します。
      -  例) dtp.server=localhost
     
     ・dtp.port
      DTP のポート番号を指定します。デフォルトは 8443 です。
       - 例) dtp.port=8443
     
     ・dtp.user
      DTP 認証用のユーザー名を指定します。
       - 例) dtp.user=admin
     
     ・dtp.password
      DTP 認証用のパスワードを指定します。
       - 例) dtp.password=admin
     
     ・dtp.project
      結果の送信先となる 既存の DTPプロジェクト名を指定します。
       - 例) dtp.project=Default Project
     
     ・build.id
      結果を関連付けるビルドをIDで指定します。
      ビルドID は静的解析ツールで設定されているビルドID と一致している必要があります。 
      例) build.id=Default Project-2019-09-19
      ビルドID については、 以下からご確認ください。
      DTPの概念-ビルド

  2. Parasoft OWASP Dependency Check Pack の実行
    Parasoft OWASP Dependency Check Pack インストールディレクトリ直下の
    dependencycheck.bat または、dependencycheck.sh を使用します。
    -results.file パラメーターを使って OWASP dependency-check ツールで生成したXMLレポートを指定して、スクリプトを実行します。

     ・例)
      Windows : dependencycheck.bat -results.file="C:\Users\admin\Desktop\dependency_check.xml"

      Linux : dependencycheck.sh -results.file="/Users/admin/Desktop/dependency_check.xml"

      dependencycheck.bat -results.file="C:\Users\admin\Desktop\dependency-check-report.xml"
     
    ※実行後のコンソールログに以下のような「セットアップの問題」が出力されることがあります。
     「セットアップの問題」が出力された場合、ツールが正常に実行されていない可能性がありますので、
     Parasoft製品サポートまでお問い合わせください。
     
     ---
     解析中に次のセットアップの問題が発生しました:
     Rule CRITICALHIGH does not exist in the rulemap file. Please add this rule to the rulemap file.
     Rule HIGHMEDIUM does not exist in the rulemap file. Please add this rule to the rulemap file.
     ---
  3.  結果の確認
    Parasoft OWASP Dependency Check Pack 実行後は、結果を Parasoft HTML レポート または、Parasoft DTP から確認することができます。

・Parasoft HTML レポート
 Parasoft OWASP Dependency Check Pack インストールディレクトリ直下の reports ディレクトリに生成されます。

・Parasoft DTP
 結果の確認方法については、以下からご確認ください。
 https://docs.parasoft.com/display/DTP20201JP/OWASP+Compliance


Copyright © 2020 TechMatrix Corporation. All rights reserved