CLIコマンド
CLIで-h
または--help
オプションを指定すると、コマンドラインのヘルプを参照できます。ヘルプガイドには、Contrastの設定、アプリケーション、脆弱性などに関する情報を理解するために使用できる以下のコマンドオプションがあります。
下記の例では、<string>
や<level>
をご利用の環境に合わせた値に置き換えてください。
一般的なコマンド
接続や設定に関するコマンドオプションです。
オプション |
説明 |
---|---|
|
Contrastで提供されるエージェントのAPIキー(必須) |
|
Contrastに登録されているアプリケーションのID(必須) |
|
Contrastに登録されているアプリケーションの名前(任意) |
|
Contrastで提供されるユーザの認証ヘッダ(必須) |
|
ヘルプを表示します。 |
|
ホスト名。オプションでポートを |
|
アプリケーションの言語。有効な値は、JAVA、DOTNET、NODE、PHP、PYTHON、RUBY、GO。 |
|
Contrastでの組織ID(必須) |
|
検査したいプロジェクトやアプリケーションのディレクトリのルート。デフォルトは現在のディレクトリです。(任意、但しWindowsで実行する場合は必須) |
|
Proxyサーバ経由の接続を許可します。認証が必要な場合は、ユーザ名とパスワード、プロトコル、ホスト、ポートを例のように指定します(任意)。例、http://username:password@<host>:<port> |
|
JSON出力をサイレントにします。(任意) |
|
Gradleアプリケーション内のサブプロジェクトを指定します。(任意) |
|
現在使用しているCLIのバージョンを表示します。 |
|
YAMLファイルからパラメータを読み込む場合に指定するYAMLファイルへのパス(任意)
|
注記
特殊文字の問題を回避するために、これらのコマンドのパラメータを引用符で囲む必要がある場合があります。例:
--application_name = "My_app_name_$+=(/\"
SCA
Contrast SCAの検査に関するコマンドオプションです。
オプション |
説明 |
---|---|
アプリケーションのカタログ作成 |
|
|
|
|
アプリケーションを登録(catalogue)します(必須)。アプリケーション名が存在しない場合は、アプリケーションを作成して依存関係ツリーが送信され、存在する場合は既存のアプリケーションに依存関係ツリーが追加されます。 |
|
Contrastでこのアプリケーションに使用するアプリケーションコード(任意) |
|
アプリケーションに関連付けるユーザ定義のメタデータを指定するための、キーと値のペアのセット(RFC 2253に準拠)を定義します。(任意) |
|
アプリケーションにタグを適用します。タグは、カンマ区切りのリストとして書式設定する必要があります(任意)。例:label1,label2,label3 |
スナップショット - Javaのみ |
|
|
Mavenの |
アプリケーションの登録 |
|
|
アプリケーションの登録とSBOMレポートの取得を同時に行うには、この一連のコマンドオプション(値は前述と後述の表に記載)を使用します。 注:パラメータの"cli_"という接頭辞は、将来のリリースで廃止される予定です。 |
レポート |
|
|
|
|
ビルドが失敗するまでに許容するCVEの数をしきい値として設定します。しきい値を超えるCVEがあると、ビルドは失敗になります。 |
|
脆弱性が検出された場合、ビルドを失敗にします。 |
|
コンパイル時のアプリケーションの脆弱性情報を表示します。 |
|
|
SBOM |
|
|
SBOM(ソフトウェア部品表)をCycloneDX JSONフォーマットで生成してダウンロードします。 |
ヒント
--report
コマンドを使用すると、全ての脆弱なライブラリの情報がターミナル に返されます。検出された全てのCVEは、以下のように出力されます。
org.webjars/jquery-ui/1.11.4 is vulnerable CVE-2016-7103 MEDIUM Cross-site scripting (XSS) vulnerability in jQuery UI before 1.12.0 might allow remote attackers to inject arbitrary web script or HTML via the closeText parameter of the dialog function.
--cve_severity
パラメータを使用して、レポートするCVEの最小しきい値を設定することで、出力される脆弱性情報を制限できます。
--fail
パラメータを、自動化されたCI/CDパイプラインの一部に使用することで、深刻度のしきい値を超えたライブラリでアプリケーションがデプロイされないようにできます。例えば、次のようにYAMLファイルを使用してCLIを実行できます。
contrast-cli --yaml_path path/to/yaml --report --cve_severity high --fail
スキャン
Contrast Scanに関連するコマンドオプションです。ビルドとスキャンのインテグレーションもご覧ください。
Contrast Scanは、.NETプロジェクトのEXEおよびZIPファイルをサポートします。アプリケーションの言語はDOTNETに設定し、ZIPはDLLを含む./binフォルダのZIPである必要があります。
オプション |
説明 |
---|---|
|
スキャンプロジェクトに関連付けられたID。<ProjectID>をスキャンプロジェクトのIDに置き換えます。IDは、Contrast Webインターフェイスでスキャンプロジェクトを選択した際のURLにある最後の文字列です。 推奨:最初のスキャンでは、このオプションの代わりに--project_nameオプションを使用してください。スキャンによってプロジェクトが作成されます。 |
|
スキャンプロジェクトの名前を指定します。プロジェクト名にスペースが含まれる場合は、二重引用符(")で囲みます。 新しい名前を指定すると、プロジェクトが作成されます。既存の名前を指定すると、アップロードされたファイルはそのプロジェクトに追加されます。 |
|
このオプションが指定された場合は、SARIFファイルがresults.jsonとして現在のディレクトリに保存されます。(任意) |
|
指定されたWARまたはJARファイルの静的スキャンを開始します。 |
|
JSONファイル形式である必要があります。このオプションが指定された場合は、SARIFファイルを保存するためのデフォルトファイル名が上書きされます。(任意) |
|
スキャンがタイムアウトするまでの時間(秒単位で)を指定します。 |
|
スキャンの結果を待機(wait)します。 |