Contrast CodeSecについて

Contrast CodeSecとは、企業向けに開発されたContrastのアプリケーションセキュリティを、アプリケーション開発者が利用できるよう無償で提供するものです。

CodeSec概要:

CodeSec Scan: アプリケーション(Java、Javascript、.NET、React、Angular、JQuery、Vue.js、and TypeScript)コードのセキュリティを最適化する、高速で高精度のスキャン(SAST)
CodeSec Serverless: AWS Lambda関数 (Java、Python)のサーバレス環境向けの革新的なアプリケーションセキュリティツール
CodeSec SCA: OSSに潜む脆弱なライブラリ (Java、Javascript、Python、GO、PHP、.NET) を検出し、対策の表示や標準化されたSBOMを作成

上記全ての機能は、シンプルなコマンドラインインターフェース(CLI)から利用できますし、CodeSec ScanはGitHub Actionでも利用できます。

ステップ1 – インストール

コマンドプロンプトまたはターミナルを開いて、NPM か Homebrewでインストールします。または、Artifactoryからバイナリをダウンロードします。
(Contrast CodeSecは、Node.js v.16.13.2以降、且つv.17より前のバージョンに対応しています。)

brew tap contrastsecurity/tap
brew install contrast

お持ちのGitHub または Googleアカウントを使用して認証を行います。

contrast auth

脆弱性を検査します。

以下のコマンドを使用し、Java、Javascript、React、Angular、JQuery、Vue.js、TypeScriptまたは .NET のコードでSASTスキャンを実行します。

contrast scan

数分で全ての脆弱性が検出され、その脆弱性内容と対策方法が表示されます。

CodeSec - Scan Output

GitHub Action開発パイプラインでこの SAST スキャンを自動化するためにも使用できます。