ビルドツールとの連携
本稿ではこれまでCUIでの実行について解説してきましたが、OWASP Dependency Checkでは各種ビルドツールと連携できる以下のようなプラグインが公開されています。
- Maven plugin
- Ant task
- Jenkins plugin
- sbt Plugin
OWASP Dependency Checkはビルドツールと連携することで、ますますその真価を発揮するツールであると筆者は考えます。ビルドツールを利用すると、以下のような利点を引き出すことができます。
- 開発サイクルの早期にコンポーネントのセキュリティチェックを組み込める
- 定期的にツールを実行する習慣ができる
- チームで結果を共有しやすく、対応を促進できる
ビルドツールと連携することによってコンポーネントに関するセキュリティチェックを開発サイクルの一部として組み込むことができます。ビルドやデプロイなどのタイミングで、常に最新のセキュリティ情報と照らし合わせながら、自身のアプリケーションに組み込まれているコンポーネントのチェックを自動的に行うことが可能です。また、アジャイルのような早いサイクルでのソフトウェア開発の中にも導入することができるでしょう。
各種プラグインで設定する情報については、基本的には今まで説明したCUIでのコマンドオプションで指定する情報と同じものであり、CUIと同じ感覚で利用することができます。なお、Jenkinsプラグインを利用した場合には、以下のようにJenkins上でスキャン結果の推移や詳細について確認することが可能であり、スキャン結果の管理がしやすいという利点もあります。
本稿ではOWASP Dependency Checkを利用した脆弱性が存在する利用コンポーネントのスキャンについて解説しました。ご自身で開発もしくは管理されているアプリケーションに対して、本ツールを用いて調査し、セキュリティ向上に役立てていただければと思います。
最後に、OWASP Night 19thで行われた、サイボウズの伊藤さんによるOWASP Dependency Checkの活用事例についての発表資料を紹介したいと思います。本ツールを活用した際に得た知見に満ちた資料なので、きっと励みになるのではと思う次第です。ぜひご参照ください。
本稿がセキュアなウェブアプリケーション開発の一助になれば幸いです。ではまた、OWASP Nightで!