Skip to main content

Contrast CLIでアプリケーションを登録

Contrast CLIをインストールしたら、結果をContrast Webインターフェイスで確認するために、アプリケーションを最初に登録する必要があります。

ヒント

Contrast CLIをCIパイプラインの一部として呼び出し、ビルドプロセスの一部として自動化することもできます。

  1. アプリケーションIDを確認します。アプリケーションIDは、ブラウザのContrast URLの最後のURIセグメントです。

    URI.png
  2. 認証に関するキーを確認します。以下が必要です。

    • APIキー

    • 組織ID

    • 認証ヘッダ

    • Contrast URLのサーバホスト名

      注記

      入力する必要があるのは、サーバホスト名だけです。例えば、Contrast URLがhttps://app.contrastsecurity.com/file/path/の場合は、以下のように入力します。

      --host app.contrastsecurity.com
  3. 以下のオプションのいずれかを使用してCLIを実行し、解析を開始します。

    • <APIKey>、<AuthorizationKey>、<OrganizationID>、<Host>および<ApplicationID>を、自分のAPIキー、認証ヘッダ、組織ID、ホスト名およびアプリケーションIDに置き換えて、以下のコマンドを実行します。

      contrast-cli \
      --api_key <APIKey> \
      --authorization <AuthorizationKey> \
      --organization_id <OrganizationId> \
      --host <Host> \
      --application_id <ApplicationId>
    • 上記と同様に<>の箇所を置き換えて、認証情報をYAMLファイル内に指定します。

      cli:
          api_key: <APIKey>
          authorization: <AuthorizationKey>
          organization_id: <OrganizationId> 
          host: <Host>
          application_id: <ApplicationId>

      <path/to/yaml>を自分のYAMLパスに置き換えて、以下のコマンドを実行して開始します。

      contrast-cli --yaml_path <path/to/yaml>

      注記

      TLS(Transport Layer Security)などの通信プロトコルを経由する必要がある場合は、YAMLファイルに以下のパラメータを追加します。

      key: pathToKey
      cert: pathToCert
      cacert: pathToCaCert
  4. 「SUCCESS」のメッセージが表示されたら、依存関係ツリーを表示できます。

ヒント

まだContrastで検査を行なっていないアプリケーションでも、--catalogue_application--application_nameオプションを使用して、新規にアプリケーションをContrastに登録することができます。ただし、Contrast Webインターフェイスでライブラリのスコアとライブラリ一覧が表示されるようにアプリケーションにエージェントを組み込んで起動することお勧めします。

例:

contrast-cli \
--catalogue_application \
--api_key <YourApiKey> \
--authorization <YourAuthorizationKey> \
--organization_id <YourOrganizationID> \
--host <YourHost> \
--application_name <YourApplicationName> \
--language <YourApplicationLanguage>

<APIKey>、<AuthorizationKey>、<OrganizationID>、<Host>、<ApplicationName>を、自分のAPIキー、認証ヘッダ、組織ID、ホスト名、およびアプリケーション名に置き換えます。また<ApplicationLanguage>は、解析するアプリケーションの言語に置き換えます。指定できる言語の値は、JAVA、DOTNET、NODE、PHP、PYTHON、RUBY、GOです。

この登録(catalogue)操作が成功すると、コンソールにアプリケーションIDが出力されます。

注記

CLIコマンドの一連のオプションを指定することで、アプリケーションの登録とSBOMレポートの作成を同時に行うこともできます。