インストールと認証
GitHubアカウントと接続することで、脆弱なサードパーティのライブラリを確認できます。接続したら、PRのサマリーやトリガーを解析するために監視し、それらをContrast Webインターフェイスに表示することができます。
注記
ContrastでGitHubの脆弱性を監視する方法は、もう1つあります。GitHubとContrastをインテグレーションすることで、プロジェクトの脆弱性を確認できます。
ContrastとGitHubのシークレット
画面にREAD/WRITEのシークレットがあっても、ContrastはGitHubのシークレットを読み取ることはできません。あくまでもトークン名の読み出しだけになります。
GitHubでシークレットを作成するには、Contrastアカウントから次の資格情報が必要です。Contrast Webインターフェイスで、ユーザメニュー > ユーザの設定 > プロファイルで確認できます。
APIキー(CONTRAST_API_KEY)
組織ID(CONTRAST_ORGANIZATION_ID)
認証ヘッダー(CONTRAST_AUTH_HEADER)
また、エージェントが報告するContrastサーバのアドレス(CONTRAST_API_URL)が必要です。デフォルト:https://app.contrastsecurity.com
Contrast Security GitHubアプリは、ワークフローで使用するリポジトリのシークレットと変数、アクションを作成し、正しいContrastアカウントに検出結果が送信されるようにします。PRのクローズには、これらのシークレットと変数を手動で削除する必要があります。シークレットと変数は、GitHubアカウントの/settings/secrets/actionsページにあります。
開始する前に
Contrast Webインターフェイスにアクセスできることを確認してください。
GitHubアカウントにログインしていることを確認してください。
手順
Contrast Webインターフェイスからインストールする場合:
Contrast Webインターフェイスにログインし、右上の新規登録を選択します。
GitHubに接続を選択し、次へをクリックします。
インストール画面で、すべてのリポジトリに接続するか、特定のリポジトリに接続するかを選択します。
ContrastのホストドメインのURLを入力します。例:https://app.contrastsecurity.com
インストールを選択して、 ContrastとGitHub間で接続が確立されるのを待ちます。
承認を選択して接続を確定して、 リポジトリをオンボードします。
完了すると、プロジェクトのページでリポジトリの検査結果を確認できます。
GitHub Marketplaceからインストールする場合:
GitHub Marketplaceで、Contrast Security GitHub Appにアクセスします。
Install it for free(無料でインストール)を選択します。
手順に従って、ContrastのGitHubアプリをインストールし、リポジトリと接続します。
完了すると、プロジェクトのページでリポジトリの検査結果を確認できます。