第4章 Dependency Analytics を使用するための IntelliJ の設定
Jet Brains の IntelliJ IDEA アプリケーション用の Dependency Analytics プラグインを使用すると、Red Hat の Trusted Profile Analyzer サービスにアクセスできます。このプラグインを使用すると、最新のオープンソースの脆弱性情報にアクセスし、アプリケーションの依存パッケージに関する洞察を得ることができます。Red Hat Dependency Analytics プラグインは、入手可能な最新の脆弱性情報を取得するために次のデータソースを使用します。
- ONGuard サービスは、Open Source Vulnerability (OSV) および National Vulnerability Database (NVD) データソースを統合します。ONGuard サービスにパッケージのセットを指定すると、OSV へのクエリーによって関連する脆弱性情報が取得され、次に NVD へのクエリーによって公開されている Common Vulnerability and Exposures (CVE) 情報が取得されます。
Dependency Analytics は、以下のプログラミング言語をサポートしています。
- Maven
- Node
- Python
- Go
注記
Dependency Analytics 拡張機能は、Red Hat によって維持されるオンラインサービスです。Dependency Analytics は、結果を表示する前にマニフェストファイルにのみアクセスしてアプリケーションの依存関係を分析します。
前提条件
- ワークステーションに IntelliJ IDEA をインストールしている。
-
Maven プロジェクトで
pom.xmlファイルを分析する場合は、システムのPATH環境にmvnバイナリーを指定する。 -
Node プロジェクトで
package.jsonファイルを分析する場合は、システムのPATH環境にnpmバイナリー指定する。 -
Go プロジェクトで
go.modファイルを分析する場合は、システムのPATH環境にgoバイナリーを指定する。 -
Python プロジェクトで
requirements.txtファイルを分析する場合は、システムのPATH環境に python3/pip3またはpython/pipバイナリーを指定する。
手順
- IntelliJ アプリケーションを開きます。
- ファイルメニューから Settings、Plugins の順にクリックします。
- Marketplace で Red Hat Dependency Analytics を検索します。
- INSTALL ボタンをクリックしてプラグインをインストールします。
アプリケーションのセキュリティー脆弱性のスキャンを開始し、脆弱性レポートを表示するには、次のいずれかを実行できます。
- マニフェストファイルを開き、インラインコンポーネント分析によってマークされた依存関係 (依存関係の下の赤い波線で示されています) にマウスをかざし、Detailed Vulnerability Report をクリックします。
- Project ウィンドウでマニフェストファイルを右クリックし、Dependency Analytics Report をクリックします。
関連情報
- Red Hat の Dependency Analytics Jet Brains marketplace ページ。
- GitHub プロジェクト。
