依存関係ツリーの表示
アプリケーションにオープンソースライブラリを追加すると、そのライブラリの依存関係もすべて継承されます。このような推移的依存関係の中には、アプリケーションに脆弱なコードをもたらす可能性のあるものがあります。Contrast CLIを使用すると、すべてのライブラリの依存関係が識別され、そのデータがContrastに送信されます。そのデータによって、Contrastでこれらのライブラリを階層的な依存関係ツリーとして可視化することができます。
アプリケーションのライブラリを階層で表示するには、Contrastがコンパイル前のアプリケーションコードにアクセスする必要があります。これは、ソフトウェア開発ライフサイクル(SDLC)の中で、Contrastエージェントがデータを収集するステージとは異なります。コンパイル前のデータ収集を行うために、アプリケーションにContrast CLIをインストールして実行しておく必要があります。
アプリケーションのライブラリの依存関係ツリーを表示するには:
Contrast Webインターフェイスのナビゲーションバーでアプリケーションを選択します。
アプリケーションを選択します。
アプリケーションの概要ページが表示されたら、ライブラリタブを選択します。
右上の依存関係ツリーアイコン
を選択すると、アプリケーションのライブラリの依存関係が階層で表示されます。
このビューに表示されるライブラリの依存関係ツリーは、Contrast CLIによって収集されたデータに基づいています。
クイックビューメニューを使用すると、脆弱性のあるライブラリのみを表示できます。デフォルトでは、全てのライブラリが表示されます。右矢印を使用して個々のセクションを展開して詳細を表示したり、「全て開く」オプションを選択して全ての情報を一度に表示することができます。
また、既知の脆弱性があるライブラリには、ライブラリ名の横に警告アイコン
が表示されます。警告アイコンをクリックすると脆弱性の情報が表示されます。特定のライブラリを検索するには、検索アイコン
をクリックします。カスタム日付を選択して、依存関係ツリーの履歴を表示することもできます。
フィルターアイコン
をクリックすると、試験・開発環境で利用するライブラリや本番環境で利用するライブラリを選択でき、その依存関係を表示できます。デフォルトでは、本番用ライブラリを表示するオプションが選択されています。マージされたアプリケーションにはアプリケーションのドロップダウンが表示されるので、マージされたアプリケーションで、脆弱なライブラリがどのように使用されているかを確認することができます。依存関係ツリーは、親アプリケーションや子アプリケーションごとに表示できます。