第4章 Dependency Analytics を使用するための IntelliJ の設定
Jet Brains の IntelliJ IDEA アプリケーション用の Dependency Analytics プラグインを使用すると、Red Hat の Trusted Profile Analyzer サービスにアクセスできます。このプラグインを使用すると、最新のオープンソースの脆弱性情報にアクセスし、アプリケーションの依存パッケージに関する洞察を得ることができます。Red Hat Dependency Analytics プラグインは、入手可能な最新の脆弱性情報を取得するために次のデータソースを使用します。
- ONGuard サービスは、Open Source Vulnerability (OSV) および National Vulnerability Database (NVD) データソースを統合します。ONGuard サービスにパッケージのセットを指定すると、OSV へのクエリーによって関連する脆弱性情報が取得され、次に NVD へのクエリーによって公開されている Common Vulnerability and Exposures (CVE) 情報が取得されます。
Dependency Analytics は、以下のプログラミング言語をサポートしています。
- Maven
- Node
- Python
- Go
Dependency Analytics 拡張機能は、Red Hat によって維持されるオンラインサービスです。Dependency Analytics は、結果を表示する前にマニフェストファイルにのみアクセスしてアプリケーションの依存関係を分析します。
前提条件
- ワークステーションに IntelliJ IDEA をインストールしている。
-
Maven プロジェクトで
pom.xml
ファイルを分析する場合は、システムのPATH
環境にmvn
バイナリーを指定する。 -
Node プロジェクトで
package.json
ファイルを分析する場合は、システムのPATH
環境にnpm
バイナリー指定する。 -
Go プロジェクトで
go.mod
ファイルを分析する場合は、システムのPATH
環境にgo
バイナリーを指定する。 -
Python プロジェクトで
requirements.txt
ファイルを分析する場合は、システムのPATH
環境に python3/pip3
またはpython/pip
バイナリーを指定する。
手順
- IntelliJ アプリケーションを開きます。
- ファイルメニューから Settings、Plugins の順にクリックします。
- Marketplace で Red Hat Dependency Analytics を検索します。
- INSTALL ボタンをクリックしてプラグインをインストールします。
アプリケーションのセキュリティー脆弱性のスキャンを開始し、脆弱性レポートを表示するには、次のいずれかを実行できます。
- マニフェストファイルを開き、インラインコンポーネント分析によってマークされた依存関係 (依存関係の下の赤い波線で示されています) にマウスをかざし、Detailed Vulnerability Report をクリックします。
- Project ウィンドウでマニフェストファイルを右クリックし、Dependency Analytics Report をクリックします。
関連情報
- Red Hat の Dependency Analytics Jet Brains marketplace ページ。
- GitHub プロジェクト。