Contrast Bambooプラグイン

このプラグインは、Bambooに機能を追加して、Contrastに接続するためのプロファイルを設定し、脆弱性のしきい値に対してビルドを検証できるようにします。

インストールと設定

Bambooプラグインをインストールして設定するには:

  1. Contrast Bambooプラグイン( contrast-bamboo-plugin-#.#.#.jar)を Bamboo Marketplace(マーケットプレイス)からダウンロードします。

  2. Bambooインスタンスにログインし、左上の設定メニューから、Add-Onsを選択します。

  3. Upload add-onを選択します。

  4. ファイルのアップロードを促すメッセージが表示されたら、contrast-bamboo-plugin-#.#.#-SNAPSHOT.jarを選択します。

  5. User-installed add-onsにプラグインが表示されていることを確認します。

  6. プラグインがインストールされたら、Contrastのプロファイルを設定します。サイドナビゲーションバーにあるAdd-Onsで、Contrast Profilesを選択します。

  7. Profile ConfigurationページでNew Profileを選択して、フォームに入力します。

    注記

    SaaS版をご利用のお客様の場合は、Contrast URLを入力する必要はありません。

  8. Test Connectionを選択して、設定が正しいことを確認します。接続できると、成功(Success!)のメッセージが表示されます。

脆弱性のしきい値の設定

Bambooプラグインは、ビルドジョブに対して、設定した脆弱性の条件をチェックするためのタスクとして追加できます。これにより、アプリケーションに存在する脆弱性の数や種類をContrastで確認できます。

ビルドジョブにタスクを追加するには:

  1. Create a New Build Planを選択します(既存のプランを使用することもできます)。

  2. プロジェクト(Project)、プラン名(Plan name)、リポジトリホスト(Repository host)を入力または選択します。プロジェクトキーとプランキーは自動生成されます。

  3. プランを作成したら、ビルドプロセスにタスクを追加するためにAdd Task(タスクの追加)を選択します。

  4. 表示される画面で、Contrast CI for Assessというタスクを検索して選択します。

    Contrast CI for Assess configuration画面では、Contrast Profile(プロファイル)だけでなく、Server Name(サーバ名)、Application Name(アプリケーション名)、Passive(パッシブ)パラメータを指定します。サーバ名は必須ではありませんが、指定する場合はContrast内のサーバと一致している必要があります。アプリケーション名は指定されたサーバ上にある必要があります。

    Passiveパラメータを選択した場合、プラグインは(ビルド固有の脆弱性だけではなく)アプリケーションに対して全ての脆弱性のクエリを実行します。これを行うと、Bambooビルドでビルド後のContrastの処理を行う前に、アプリケーションの統合テストを実行する必要がなくなります。

  5. 次に、ビルドを失敗させるための条件を定義します。

    • Threshold Count(しきい値の数): ビルドを失敗させるのに必要な検出数の最小値。

    • Threshold Severity(しきい値の深刻度): 検出結果をしきい値の数として数えるための最小レベルの深刻度。

    • Threshold Vulnerability Type(しきい値の脆弱性の種類): 検出結果をしきい値の数として数える対象とする脆弱性の種類。

    注記

    Anyオプションを使用すると、全ての深刻度や全ての脆弱性の種類がしきい値の数にカウントされます。

  6. タスクごとに複数の条件を設定するには、Add New Threshold Condition(新しいしきい値条件の追加)を選択します。

  7. Save(保存)を選択します。

  8. 左下のチェックボックスを選択して、ビルドプランを有効にします。