Skip to main content

ContrastをGitHub/GitHub Advanced Securityと統合する

Contrastでは、GitHub SCM(ソースコード管理)をContrastのテクノロジと統合する複数の方法をサポートしています。

Contrast AssessとGitHubのワークフローを統合する方法の例については、Contrast AssessとGitHubをご覧ください。

Contrast ScanとGitHubの統合

GitHubを使用して行いたいこと

手順

関連リンク

masterブランチのコードをスキャンする

ワークフローの一部としてContrast Scanローカルエンジンを使用します。

コードのスキャンには、Contrast Scan CLIまたはContrast Scan Analyze(GitHubアクション)を使用することを選択できます。

CLIでは、特定のブランチのスキャンがサポートされません。スキャンするリポジトリごとに個別のプロジェクトが作成されます。このため、Contrast Scan Analyze(GitHubアクション)を使用することをお勧めします。

Contrast Scan CLI

Contrast Scan Analyze

Contrast Scan AnalyzeのREADME

個人用ブランチまたは代替ブランチでコードをスキャンする

コードのスキャンには、Contrast Scan Analyze(GitHubアクション)を使用します。

Contrast Scan Analyze

Contrast Scan AnalyzeのREADME

Contrastの結果をGitHub Advanced Securityに取り込む

次のいずれかの方法で、SARIFファイルに情報を含めたいアプリケーションをテストします。
- パイプライン自体にデプロイされているサーバにエージェントをデプロイします。デプロイの一部となるテストスイートがそこで実行されます。この操作によって、アプリケーションが実行されて、SARIFファイルの情報が提供されます。
- テスト実行前に、サーバにエージェントをデプロイしてアプリケーションを疎通します。
sarifAPIを使用して、ContrastからSARIFファイルをダウンロードします。アプリケーションやその他のメタデータで情報をフィルタリングして、結果をカスタマイズできます。
SARIFファイルをGitHub Advanced Securityに取り込むには、GitHub Actionsファイルに以下のコードを追加します。
```
- name: Upload SARIF file
      uses: github/codeql-action/upload-sarif@v2
      with:
        sarif_file: results.sarif
```
Security > Code Scanningタブに結果が表示されます。

SARIFファイルをGitHub にアップロードする

Contrastの静的SCAとGitHubの統合

GitHubを使用して行いたいこと	手順	関連リンク
アクションを使用してリポジトリに対して静的SCAスキャンを実行する	ライブラリの脆弱性に関してコードリポジトリをスキャンするには、Contrast Security SCA(GitHubアクション)を使用します。GitHubアクションを使って、ワークフローファイルを更新することでビルドを失敗させることもできます。	Contrast Security SCA
Contrast SCAの結果をGitHub Advanced Securityに取り込む	次のいずれかの方法で、SARIFファイルに情報を含めたいアプリケーションをテストします。パイプライン自体にデプロイされているサーバにエージェントをデプロイします。デプロイの一部となるテストスイートがそこで実行されます。この操作によって、アプリケーションが実行されて、SARIFファイルの情報が提供されます。テスト実行前に、サーバにエージェントをデプロイしてアプリケーションを疎通します。 sarifAPIを使用して、ContrastからSARIFファイルをダウンロードします。アプリケーションやその他のメタデータで情報をフィルタリングして、結果をカスタマイズできます。 SARIFファイルをGitHub Advanced Securityに取り込むには、GitHub Actionsファイルに以下のコードを追加します。 - name: Upload SARIF file uses: github/codeql-action/upload-sarif@v2 with: sarif_file: results.sarif Security > Code Scanningタブに結果が表示されます。	SARIFファイルをGitHub にアップロードする

IASTテクノロジ(Contrast Assess)とGitHubの統合

GitHubを使用して行いたいこと	手順	関連リンク
結果をSARIFファイルにエクスポートしGitHub Advanced Securityに取り込む	次のいずれかの方法で、SARIFファイルに情報を含めたいアプリケーションをテストします。パイプライン自体にデプロイされているサーバにエージェントをデプロイします。デプロイの一部となるテストスイートがそこで実行されます。この操作によって、アプリケーションが実行されて、SARIFファイルの情報が提供されます。テスト実行前に、サーバにエージェントをデプロイしてアプリケーションを疎通します。 sarifAPIを使用して、ContrastからSARIFファイルをダウンロードします。アプリケーションやその他のメタデータで情報をフィルタリングして、結果をカスタマイズできます。 SARIFファイルをGitHub Advanced Securityに取り込むには、GitHub Actionsファイルに以下のコードを追加します。 - name: Upload SARIF file uses: github/codeql-action/upload-sarif@v2 with: sarif_file: results.sarif Security > Code Scanningタブに結果が表示されます。	SARIFファイルをGitHub にアップロードする
ContrastからGitHub Issuesに脆弱性を直接送信する	ContrastからGitHubリポジトリに脆弱性を送信し、issue(イシュー)として報告する機能をサポートしています。GitHubとの統合で、その方法を説明しています。

このセクションの内容:

これは役に立ちましたか？

フィードバックを送信しますか? ここをクリックして、編集を提案してください。