Contrast Scanローカルエンジン
Contrast Scanローカルエンジンを使用すると、Contrast CLIまたはContrast Webインターフェイスの代わりに、Java JARファイルを使用してアプリケーションをスキャンできます。スキャンが正常に完了すると、Contrast Scanローカルエンジンによって結果がContrastプラットフォームにアップロードされ、そこで結果を確認することができます。アップロードされるのは以下のファイルです。
静的分析結果形式(SARIF)で記述されたスキャン結果の
JSON
ファイルスキャンの出力情報の
LOG
ファイル
この方法は、スキャンするファイルをContrastプラットフォームにアップロードせずに、ローカルでスキャンしたい場合に便利です。
サポート対象プラットフォーム
Contrast Scanローカルエンジンは、Linuxシステムでサポートされています。
ローカルスキャンでのプロキシサーバの設定
セキュリティ上の理由から、ローカルスキャンエンジンとContrastプラットフォーム間の通信にプロキシサーバを使用している場合があります。ローカルスキャンを実行する際にプロキシサーバを有効にするには、以下の環境変数を使用してください。
変数 | 説明 |
---|---|
CONTRAST__API__PROXY__ENABLE | プロキシの設定を有効にします。 |
CONTRAST__API__PROXY__URL | 必須 プロキシサーバのURL(例、 |
CONTRAST__API__PROXY__TYPE | 必須 プロキシサーバの方式(例、BASIC) |
CONTRAST__API__PROXY__USERNAME | 任意 プロキシサーバのユーザ名 |
CONTRAST__API__PROXY__PASSWORD | 任意 プロキシサーバのパスワード |
ローカルスキャン用のパッケージの準備
ローカルスキャン実行の準備をする際には、以下のベストプラクティスを考慮してください。
JARファイルまたはWARファイル:スキャンするバイナリファイルを指定します。
ソースコードのスキャン:スキャンするソースコードは、ZIPファイルではなくフォルダに入れます。
ローカルスキャン用のこのフォルダのサイズに制限はありません。ただし、一部の大きなソースコードリポジトリでは、より多くのメモリが必要になったり、実行に時間がかっかたりする場合があります。このような場合は、メモリとタイムアウトのオプションを使用して対処してください。
複数JARのスキャン:複数のJARファイルを含むZIPファイルを指定します。含めるファイルは、ZIPファイルのルートにある必要があります。
ZIPファイル内のJARファイルのサイズに制限はありません。
スキャンの手順
Contrast Scanローカルエンジンを使用するには:
最新のローカルエンジンアプリケーションを入手するには、Contrastサポートにお問い合わせください。
検査結果のアップロードにプロキシサーバを使用するかどうかを判断します。
ローカルシステムでスキャンを実行します。
Contrast Webインタフェースで結果を確認します。