| ライセンス | オンプレミス |
| 製品 | AssessとProtectの両方、もしくは単体 |
| 製品カテゴリ | Contrast EOP |
| サブカテゴリ | システム管理 |
本項の内容
Contrastエンタープライズオンプレミス版(EOP)で、ライブラリのCVE情報を更新する方法について説明します。
手順
ContrastEOPの3.6.4 以降のリリースでは、Proxy経由あるいはファイアウォール経由でhttps://ardy.contrastsecurity.com/production へのアクセスが許可されていれば、ライブラリのCVE情報は自動的に更新されます。
ネットへのアクセスが許可されていないEOPの場合でも以下の手順により、最新のライブラリのCVE情報をダウンロードして更新することができます (3.7.4 以降、かつ<EOP Install Dir>/data/librariesを含むストレージに20GB以上の空きが必要です)。
1. Contrast Hubからライブラリデータをダウンロード
Contrast Hub (https://hub.contrastsecurity.com/h/download/all/typed.html)へアクセスし、DownloadsのLibrary Data Exportsから最新のCVE情報をダウンロードします (2020/12現在で2GB程度)。
2. ダウンロードしたファイルをフォルダに配置
ダウンロードしたZIPファイルを解凍してできるCSVファイル (2020/12現在で解凍後5GB程度) をContrast EOPをインストールしたフォルダの下のdata/librariesフォルダに配置します。
- Windowsでは、デフォルトインストールで"C:\Program Files\Contrast\data\libraries"
- Linuxでは、デフォルトインストールで"/usr/local/contrast/data/libraries"
.NET framework などのCVE情報を含むCSVファイルは、OSの設定により名前の関係で隠れている場合がありますので、すべてのCSVファイルがこのフォルダに配置されていることを確認してください。
(参考:Windowsの場合のイメージ)
3. Contrast EOPを再起動
Contrast EOPを再起動します。
- Windowsの場合は、サービスよりContrast Serverというサービスを再起動
- Linuxの場合は、sudo service contrast-server restart を実行してサービスを再起動
(参考:Windowsの場合のイメージ)
4. CSVファイルの読み込み
Contrast EOPを再起動すると、バックグラウンドでCSVファイルに含まれるCVE情報を含むが読み込まれます。読み込みが完了したCSVファイルはフォルダから削除されます。
5. ログの確認
CSVファイルの読み込みがが完了したかどうかは、ログを確認します。以下のようなメッセージが、Contrast EOPをインストールしたフォルダの下のdata/logs/contrast.logにログとして出力されます。
例)
Beginning CSV import from 'C:\Program Files\Contrast\data\libraries\java.csv' into 'artifacts_java'
Import temporary table 'artifacts_java' completed, time: 36.6886968s
関連する情報
弊社オンラインドキュメント:ライブラリデータの更新