JavaアプリケーションにContrastエージェントを追加する

  • 更新

本項の内容

アプリケーションの脆弱性をContrastで検出するには、Contrastエージェントをアプリケーションに組み込む必要があります。本項では、JavaアプリケーションにContrastエージェントを追加する一般的な手順について説明します。手順の主な流れは、以下の通りです。

  1. Contrastエージェントを取得
  2. アプリケーションの起動スクリプトにContrastエージェントを設定
  3. アプリケーションを再起動

 

1. Contrastエージェントを取得

Contrastエージェントを取得する方法は、以下の通りいくつかあります。

本項では、Contrast UIからJavaエージェントをダウンロードする方法による説明になります。その他の方法については、上記の各項目にリンクされている弊社ドキュメントを参照ください。

 

Contrast UIからダウンロード

Contrast UIにログインし、ナビゲーションバーでエージェントを追加をクリックします。

AddAgent.png

エージェントタイプを選択のリストボックスよりJavaを選択して、エージェントをダウンロードをクリックします。contrast.jarというJavaエージェントのファイルのダウンロードが開始します。

Agent01.png

ダウンロードが完了したら、スキップボタンをクリックして次の画面に進みます。もしくは、以下のように画面左にある2番目のをクリックしても次のステップ2の画面に進むことができます。

Agent-sub.png

ステップ2の画面で、設定ファイルをダウンロードのボタンをクリックします。contrast_security.yamlという設定ファイルのダウンロードが開始します。ダウンロードが完了したら次へをクリックします。

Agent02.png

 

2. アプリケーションにContrastエージェントを設定

脆弱性の検査対象とするアプリケーションが動作するサーバに、ダウンロードしたcontrast.jarとcontrast_security.yamlをコピーします。Contrastの設定ファイル(contrast_security.yaml)を以下の通り指定されたフォルダに移動します。

UNIX系

/etc/contrast/java/contrast_security.yaml

Windows

%ProgramData%\Contrast\java\contrast_security.yaml

ステップ3コンテナを選択し、画面に表示されている方法を参考に、検査対象のアプリケーションサーバの起動時にcontrast.jarを組み込むよう指定します。

Agent03.png

この画面では、コンテナ毎にエージェントの組み込み方法が提示されますが、基本はJVMに以下のパラメータを渡すだけです。パスは、実際にcontrast.jarのあるディレクトリを指定してください。

-javaagent:/path/to/server/contrast.jar

 

3. アプリケーションを再起動

Contrastエージェントを組み込む設定をしたら、アプリケーションサーバを再起動します。再起動できたらContrast UIのアプリケーションページにアクセスし、アプリケーションの一覧に検査対象のアプリケーション名が追加されていることを確認してください。アプリケーションが起動されている場合、アプリケーション名の右の丸印が緑色になります。

Apps.png

Contrast UIにアプリケーション名が表示されない場合は、検査対象のアプリケーションのページをいくつか表示したり、画面を開いてみてください。アプリケーションを閲覧してトラフィックが発生すると、Contrast UIにアプリケーション名が表示されます。

 

関連情報

Javaエージェントの起動オプション

WebGoatにContrastエージェントを設定してみる

 

 

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

他にご質問がございましたら、リクエストを送信してください