SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

OWASPでビルトイン・セキュリティ

組み込んだOSSコンポーネントの更新漏れを可視化する「OWASP Dependency Check」

OWASPでビルトイン・セキュリティ 第7回

  • X ポスト
  • このエントリーをはてなブックマークに追加

ビルドツールとの連携

 本稿ではこれまでCUIでの実行について解説してきましたが、OWASP Dependency Checkでは各種ビルドツールと連携できる以下のようなプラグインが公開されています。

  • Maven plugin
  • Ant task
  • Jenkins plugin
  • sbt Plugin

 OWASP Dependency Checkはビルドツールと連携することで、ますますその真価を発揮するツールであると筆者は考えます。ビルドツールを利用すると、以下のような利点を引き出すことができます。

  1. 開発サイクルの早期にコンポーネントのセキュリティチェックを組み込める
  2. 定期的にツールを実行する習慣ができる
  3. チームで結果を共有しやすく、対応を促進できる

 ビルドツールと連携することによってコンポーネントに関するセキュリティチェックを開発サイクルの一部として組み込むことができます。ビルドやデプロイなどのタイミングで、常に最新のセキュリティ情報と照らし合わせながら、自身のアプリケーションに組み込まれているコンポーネントのチェックを自動的に行うことが可能です。また、アジャイルのような早いサイクルでのソフトウェア開発の中にも導入することができるでしょう。

 各種プラグインで設定する情報については、基本的には今まで説明したCUIでのコマンドオプションで指定する情報と同じものであり、CUIと同じ感覚で利用することができます。なお、Jenkinsプラグインを利用した場合には、以下のようにJenkins上でスキャン結果の推移や詳細について確認することが可能であり、スキャン結果の管理がしやすいという利点もあります。

図9 Jenkinsプラグインでのスキャン結果詳細
図9 Jenkinsプラグインでのスキャン結果詳細

 本稿ではOWASP Dependency Checkを利用した脆弱性が存在する利用コンポーネントのスキャンについて解説しました。ご自身で開発もしくは管理されているアプリケーションに対して、本ツールを用いて調査し、セキュリティ向上に役立てていただければと思います。

 最後に、OWASP Night 19thで行われた、サイボウズの伊藤さんによるOWASP Dependency Checkの活用事例についての発表資料を紹介したいと思います。本ツールを活用した際に得た知見に満ちた資料なので、きっと励みになるのではと思う次第です。ぜひご参照ください。

 本稿がセキュアなウェブアプリケーション開発の一助になれば幸いです。ではまた、OWASP Nightで!

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
OWASPでビルトイン・セキュリティ連載記事一覧

もっと読む

この記事の著者

洲崎 俊(OWASP Japan)(スザキ シュン)

OWASP Japan Promotion Teamに所属する「とある診断員」。2006年よりセキュリティベンダに入社し、NW及びWebアプリケーションの脆弱性診断を中心としたセキュリティソリューションサービスの提供に携わる。現在はユーザ企業内のセキュリティチームにて、セキュリティエンジニアとしてセ...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/9608 2016/09/06 14:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング