Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  1. アクティブなプロジェクトページに移動します。
  2. 移動し  Build & Release  タブをクリックし  Buildsをクリック
  3. +New」をクリックして、解析するビルド定義を選択するか、新しいビルド定義を作成します。
  4.  画面の右上にある[ Edit ]をクリックし  ます。
  5. [  Add build step]を選択する と、タスクカタログがポップアップウィンドウに表示されます。
  6. Utility  カテゴリを選択 
  7. WhiteSource Boltまでスクロールして[ Add] をクリックし、次に  [Close] をクリックします。 +New  をクリックして、解析するビルド定義を選択するか、新しいビルド定義を作成します。
  8.  画面の右上にある  Edit をクリックし  ます。
  9.  Add build step を選択する と、Task catalog がポップアップウィンドウに表示されます。
  10. Utility カテゴリを選択 
  11. WhiteSource Bolt までスクロールして Add をクリックし、次に Close をクリックします。



  12.  'npm install' や 'NuGet restore'のようなパッケージングステップの後に、WhiteSource Boltビルドステップ  を実行します。これにより、WhiteSource Boltがすべてのオープンソースコンポーネントにアクセスできるようになります。Bolt ビルドステップ  を実行します。これにより、WhiteSource Bolt がすべてのオープンソースコンポーネントにアクセスできるようになります。
  13. オプション:WhiteSource Boltをビルドに追加した後、WhiteSourceビルドステップをクリックします。右側には、その構成表示が表示されますBolt をビルドに追加した後、WhiteSource ビルドステップをクリックします。右側には、その構成表示が表示されます。


    。デフォルト設定では、プロジェクトの作業ディレクトリ全体が分析されます。必要に応じて、次の手順でカスタム設定を作成し、WhiteSource Boltのスキャンまたは除外フォルダを指定します。

    [Work directory]
    デフォルト設定では、プロジェクトの作業ディレクトリ全体が分析されます。必要に応じて、次の手順でカスタム設定を作成し、WhiteSource Bolt のスキャンまたは除外フォルダを指定します。

    1.  Work directory フィールドの右側にある3ドットの select pathpath ボタンをクリックします。
    2. パスを選択します。
    3. フォルダを除外するには、[Advanced settings]の横にあるチェックボックス をオンにして、下にポップアップするフォルダを[ Exclude list]の横にあるチェックボックス をオンにして、下にポップアップするフォルダを Exclude list フィールドに入力します  

設定が完了したら 、画面の左側にある[Save]設定が完了したら 、画面の左側にある Save をクリック  し、[ OK]し、 OK をクリックし  ます。

WhiteSource Bolt をTFSで使用するを TFS で使用する

新しいビルドを開始するには、次の手順を実行します。

  1.  画面の右上にある[  画面の右上にある Queue new build]をクリックし、[ OK ]build をクリックし、 OK  をクリックし  ます。
  2. ビルドプロセスが完了するとすぐに、[Build Summary]ページの[ビルドプロセスが完了するとすぐに、 Build Summary ページの WhiteSource Bolt Build Report]Report という新しいタブが表示されます。


    上記のビルド確認ではなく、エラーメッセージが表示された場合は、support @whiteitesoftware.comまでご連絡ください。
     WhiteSource Bolt分析レポートを表示するには、
    上記のビルド確認ではなく、エラーメッセージが表示された場合は、support@whiteitesoftware.com までご連絡ください。
  3.  WhiteSource Bolt 分析レポートを表示するには、WhiteSource Bolt Build ReportReport タブをクリックし  ます。

    Info

    WhiteSource Boltは、WhiteSourceBoltのインストール後にビルドを実行するたびに結果を表示します。WhiteSource Boltのインストールより前のビルドにアクセスしようとすると、結果は表示されません。

...

  1. Bolt は、WhiteSourceBolt のインストール後にビルドを実行するたびに結果を表示します。WhiteSource Bolt のインストールより前のビルドにアクセスしようとすると、結果は表示されません。


これ以降、WhiteSource はビルドを実行するたびにレポートを生成します。

レポートの理解

WhiteSource Boltレポートは、ビルドレベルまたはプロジェクトレベル(すべてのビルドの集計レポート)で表示できます。WhiteSource Boltはアカウントレベルのレポートを提供していません。Bolt レポートは、ビルドレベルまたはプロジェクトレベル(すべてのビルドの集計レポート)で表示できます。WhiteSource Bolt はアカウントレベルのレポートを提供していません。

レポートは、セキュリティ分析、セキュリティ脆弱性、ライセンスリスクとコンプライアンス、旧式のライブラリとインベントリの5つのセクションで構成されています。

...

検出されたオープンソースの脆弱性の概要と、それを含むライブラリ。

Vulnerability Scoreは  低(黄色)、ミディアム(オレンジ)または高(赤)、(緑)を確保することができます。スコアは、検出された脆弱性の重大度が最も高い単一のレベルに基づいて決定されます。 Score には、低(黄色)、ミディアム(オレンジ)または高(赤)、セキュア(緑)が表示されます。スコアは、検出された脆弱性の重大度が最も高い単一のレベルに基づいて決定されます。 安全性は、脆弱なコンポーネントがまったく存在しないことを示します。低、中、高の重大度は、 NVD(National Vulnerability Database)の脆弱性の重大度ランキングに従って表示され  ます。

...

Severity Distribution  は、脆弱なライブラリの重大度に応じた内訳を提供します。

Aging Vulnerable Librariesに  は、検出された脆弱性がオープンソースコミュニティで最初に確認されてからの経過時間が表示されます。Libraries には、検出された脆弱性がオープンソースコミュニティで最初に確認されてからの経過時間が表示されます。

セクション2:セキュリティ上の脆弱性

すべてのセキュリティ上の脆弱性を列挙した表。

...

[Vulnerability]列には、脆弱性の深刻度スコア、そのCVEまたはWhiteSourceプロファイル(脆弱性がCVE / NVDに未登録の場合)、およびその出版日付へのリンクを示しています。この列は重大度に応じて順序付けされ、最も重大な脆弱性が最初に表示されます。NVDに未登録の場合)、およびそれが発行された日付へのリンクを示しています。この列は重大度に応じて順序付けされ、最も重大な脆弱性が最初に表示されます。

[Library]列には、この脆弱性が存在するライブラリの名前が表示されます。脆弱性が複数のソースファイルに影響する場合、影響を受けるすべてのソースファイルが表示され、括弧でくくり、コンマで区切られます。バイナリコンポーネントには、ソースファイル(例:jar、dll、tgzなど)は含まれません。列には、この脆弱性が存在するライブラリの名前が表示されます。脆弱性が複数のソースファイルに影響する場合、影響を受けるすべてのソースファイルが表示され、括弧でくくられ、コンマで区切られます。バイナリコンポーネントには、ソースファイル(例:jar、dll、tgzなど)は含まれません。

[Description]列には、CVEデータベースに記載されている脆弱性の  説明が表示されます。この脆弱性が登録抹消されている場合(WS)、別のオープンソース脆弱性リソースの記述にリンクが提供されます。説明が表示されます。この脆弱性が登録抹消されている場合(WS)、別のオープンソース脆弱性リソースの記述にリンクが提供されます。

[Top Fix]列はWhiteSourceは、各脆弱性のために推奨しています一流のソリューションを示しています。推奨される行動コースを要約して説明し、続いてより幅広い説明にリンクしています。

...

 License Risk Distributionは、そのリスクレベルによってライセンス数を分解します。未知のリスクレベルは、ライセンスリスクがWhiteSourceの法律専門家によって分析されなかったことを意味します。

...

セクション4:更新されていないままのライブラリ

最新の使用可能なバージョンに更新されていないライブラリをリストした表。

[Library]  の列は、旧式のライブラリの名前が一覧表示されます。 の列は、古いままのライブラリの名前が一覧表示されます。

[Versions ]列には、旧式のライブラリのバージョン番号とリリース日、ライブラリの最新バージョン番号とリリース日、およびその間にリリースされたバージョンの数が表示されます。列には、古いままのライブラリのバージョン番号とリリース日、ライブラリの最新バージョン番号とリリース日、およびその間にリリースされたバージョンの数が表示されます。

[Recommendations ] 列には、WhiteSourceが推奨する対策コースと、ライブラリのホームページへのリンクが記載されています。

...

セクション5:インベントリ

すべてのオープンソースコンポーネントのインベントリが検出されました。

...