Javaクイックスタートガイド
Contrastでは、コードの脆弱性を監視するためのセンサーを配置するために、エージェントをインストールする必要があります。エージェントは、開発環境では脆弱性を解析し、実行時の本番環境では攻撃を検知します。
アプリケーションが実行されると、エージェントは情報(HTTPリクエスト、データフロー、バックエンド接続、ライブラリの依存関係など)を解析し、脆弱性や攻撃をContrastサーバに送信します。Contrastでそれらの情報を参照でき、優先順位を付け、直ちに対策を講じることができます。
このガイドで、Contrastがわずか数分でアプリケーションで動作するようになり、Contrastの機能を確認することができます。
ヒント
将来的なインストールに関しては、必要に応じて、組織のビルドツールやデプロイメントパイプライン、セキュリティ目標、Contrastを使用する環境なども考慮してください。ご利用状況に合わせて、Contrastをインストールする他の方法を参照ください。
前提条件
このガイドで使用するWebアプリケーションは、以下の前提条件を満たすものをお選びください。
Webアプリケーションがプロキシを経由せずにインターネットにアクセスできること。
WebアプリケーションがJARファイルとしてパッケージ化されていること。
Contrastでサポートされているバージョン、フレームワーク、ツールを使用していること。
また、コマンドラインインターフェース(エージェントをダウンロードするためのディレクトリを選択するため)と、ご利用になる組織のContrastサーバのアクセスも必要です。 まだContrastをお持ちでない方は、Community Editionを無料でご利用いただけます。
インストール
エージェントを追加するための画面からYAML設定ファイルをダウンロードします(まだダウンロードしていない場合)。これを行うには、Contrast Webインターフェイスで、新規登録を選択します。
Contrast Webインターフェイスで、新規登録を選択します。
Javaを言語として選択します。
使用するインストール方法を選択します。
Javaエージェントを取得します。
YAML設定ファイルをダウンロードを選択します。 このファイルはローカルにダウンロードされ、アプリケーションをContrastに接続するための組織固有のエージェントキーが含まれています。
YAML設定ファイルをエディタで開き、エージェントの設定を指定します。
ヒント
Contrastエージェント設定エディタを使用すると、YAMLファイルのカスタマイズが容易になります。
api: url: https://xxx.contrastsecurity.com/Contrast api_key: A2xxxxxxxxxxxxxxxxxxxxxxxxxxxG9N service_key: 88xxxxxxxxxxxx5Z user_name: agent_xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx@OrgName
コマンドラインインターフェイスで以下のコマンドを入力して、YAML設定ファイルがどこにあるかをエージェントに伝えます。
java -javaagent:./contrast.jar -Dcontrast.config.path=contrast_security.yaml -jar <ApplicationJarPath>
<ApplicationJarPath>は必ずお使いのアプリケーションへのパスに置き換えてください。例:./MyApplication.jarContrastが機能しているかを確認するために、通常通りにアプリケーションを使用します。 例えば、アプリケーションのWebインターフェイスをクリックしたり、APIコマンドを送信してみてください。
そして、Contrast Webインターフェイスのナビゲーションバーでアプリケーションを選択します。アプリケーションの名前が表示されているはずです。
また、Contrast Webインターフェイスのナビゲーションバーでサーバを選択すると、一覧にサーバ(ローカル)のホスト名が表示されているはずです。