WhiteSource Advise for IntelliJ IDEA





WhiteSource Advise プラグインの古いバージョンは非推奨です。

概要

WhiteSource Advise for IntelliJ IDEA は、IntelliJ IDEA 統合開発環境(IDE)のプラグインであり、開発プロジェクトで採用されているオープンソースコンポーネントに関するセキュリティの脆弱性に関する重要で貴重な情報を開発者に提供するように設計されています。

IntelliJ IDEA の WhiteSource Advise は、次のことを行います。

  • 重要なコンポーネントの脆弱性情報をIDE内からソフトウェア開発者が利用できるようにすることでワークフローを促進し、そのような目的で別のアプリケーションを使用する必要をなくします。

  • バックグラウンドで自動脆弱性チェックを実装し、ユーザーが入力するとすぐにフィードバックできるようにします。たとえば、プロジェクトの pom.xml ファイルに入力されている新しいコンポーネント参照は、セキュリティの脆弱性について自動的に分析されます。

  • IDE 環境とシームレスに統合することにより、開発者に透過的な UX を提供します。セキュリティの脆弱性(CVE)を報告したことが判明したプロジェクトのオープンソースコンポーネントを強調表示し、そのような脆弱性に関する情報を表示し、それらを修正するための推奨事項を提供します。

言語とパッケージマネージャーのサポート

WhiteSource Advise for IntelliJ IDEA は、Maven を使用した Java、Kotlin、および Scala プロジェクト(pom.xml依存関係ファイル)をサポートし、Gradleを使用したJavaプロジェクト(build.gradle依存関係ファイル)をサポートします。

ノート: 

  • Gradle Kotlinプロジェクトは、WhiteSourceAdviseではサポートされていません。

  • 使用する場合は、「から適用のGradleプロジェクト内のスクリプトプラグイン」、リモートスクリプトの場所がサポートされていません。

前提条件

次の前提条件が満たされていることを確認してください。

  • WhiteSource forDevelopersの有効なライセンス

  • WhiteSource Advise for IDEのライセンスキー。次のいずれかのオプションから入手できます。

    • WhiteSourceアプリケーションに直接アクセスできない場合は、WhiteSource管理者からライセンスキーを取得してください。

    • WhiteSourceアプリケーションに アクセスできる場合は、次のようにします(:このオプションは、バージョン20.11.1以降のWhiteSource Adviseを使用している場合にのみ使用できます)。

      1. WhiteSourceアプリケーションに移動します。

      2. プロファイルページを開き ます。

      3. で WhiteSourceのアドバイス- IDE統合下部のセクション、あなたの組織を選択します。

      4. 後でWhiteSourceAdviseアクティブ化するときに使用する個人ライセンスキーをコピーします。

  • Java JDK 1.8以降(手順についてはこちらを参照)または OpenJDK1.8以降がインストールされている

  • MavenアプリケーションとGradleアプリケーションのどちらをスキャンするかに応じて、次のガイドラインに注意してください。

    • Apache Mavenアプリケーションがインストールされ、Mavenパスとすべての環境変数が設定されます(手順については、ここを参照てください)。

    • Gradleアプリケーションがインストールされ、Gradleパスとすべての環境変数が設定されます。注: Gradleバージョン4.8以降をインストールする必要があります。

  • IntelliJ IDEAがインストールされており、その基本機能に精通している

サポートされているバージョン

プラグインは、次のIntelliJIDEAバージョンをサポートします。

  • 2021.1

  • 2020.3

  • 2020.2

  • 2020.1

  • 2019.3

  • 2019.2

  • 2019.1

2019.3以降(コミュニティバージョンとUltimateバージョンの両方)。最後にテストされたバージョンは2021.2.2です。

制限事項-次のIntelliJIDEAバージョンのGradleサポートはmacOSではサポートされていません 。 

  • 2019.3

WhiteSource Advise のインストール

以前に WhiteSource Adviseプラグインインストールしている場合は最新バージョンをインストールする前に、IntelliJ IDEA から古いプラグインを削除します。 

WhiteSource Adviseをインストールするには、次のようにします。

  1. IntelliJ IDEA を起動します。

  2. メニューバーから、[File] > [Settings] を選択します。[Settings] 画面が表示されます。

  3. 左側のサイドバーから、[Plugins] をクリックします。

  4. [Search] ボックスに whitesource と入力し、キーボードから Enter キーを押し ます。  WhiteSource Advise プラグインの情報が表示されます。

  5. [Install]をクリックしてから、[Restart IDE] をクリックします。

  6. ポップアップダイアログボックスで、[Restart] をクリックします。

WhiteSource Advise のアクティブ化

WhiteSource Adviseをアクティブにするには、次のようにします。

  1. 優先プロジェクトを指定して、IntelliJ IDEA を起動します。

  2. 右側のサイドバーから、[WhiteSource] をクリックします (サイドバーが表示されていない場合は、 [View] > [Tool Window Bars] を選択します)。ようこそ画面が表示されます。

  3. [Email] に、組織の電子メールを入力します(Adviseを使用するには、電子メールドメインのライセンスが必要です)。

  4. [License Key] に、ライセンスキーを入力します。次のようにします。

    1. WhiteSourceアプリケーションに移動し、 [Integrate] > [WhiteSource for Developers] > [WhiteSource Advise for IDE] で、ライセンスキーをコピーします。

    2. [WhiteSource] 画面の [License Key] にライセンスキーを貼り付けます。

  5. [Connect] をクリックします。

[Remember Token] をオンにすると、ログイン資格情報が後で使用できるように保存されます。保存されると、WhiteSource Advise のログイン資格情報がすべてのプロジェクトで使用されます。

WhiteSourceAdviseの構成

WhiteSource設定に加えられた変更は、次のスキャンの実行後にのみ適用されます。



WhiteSource設定は、グローバルレベルまたはプロジェクトレベルで構成できます。次のセクションを参照してください。

グローバルレベルの構成

WhiteSource Adviseをグローバルレベルで構成するには、次のようにします。

  1. メニューバーから、[ファイル] > [設定]を選択します。[設定]画面が表示されます。 

  2. [ツール] > [WhiteSource]を選択します

  3. スキャン結果の設定、オプションを確認し、必要に応じて変更します。すべてのオプションのリストについては、こちらをご覧ください。

  4. OK]をクリックします。

プロジェクトレベルの構成

プロジェクトレベルでWhiteSourceAdviseを構成するには、次のようにします。

  1. メニューバーから、[ファイル] > [設定]を選択します。[設定]画面が表示されます。 

  2. [ツール] > [WhiteSource]> [プロジェクト設定]を選択しますプロジェクトの設定画面が表示されます。

  3. スキャン結果の設定、オプションを確認し、必要に応じて変更します。すべてのオプションのリストについては、こちらをご覧ください。

  4. デフォルトでは、すべての設定はグローバルレベルの構成から継承されます。プロジェクトレベルで特定の構成を上書きするには、[グローバル設定から継承]チェックボックスオフにします。

  5. OK]をクリックします。

オプション表



オプション

説明

初期設定

オプション

説明

初期設定

直接の依存関係の問題のみを表示する

有効にすると、WhiteSource Adviseは、依存関係ファイルで定義された直接の依存関係の脆弱性のみを返します。

選択されていません(チェックされていません)

最小の脆弱性重大度レベル

低/中/高の最小重大度レベルを満たす検出された脆弱性についてのみアラートを出します。

  • -すべての重大度(低、中、高)の脆弱性アラートが表示されます。

  • -中または高の重大度の脆弱性アラートのみが表示されます。

  • -重大度が高い場合にのみ脆弱性アラートが表示されます。

低い



プロジェクトのセキュリティ脆弱性のスキャン

プロジェクトをスキャンするには、次のいずれかを実行します。

  • メニューバーから、[Tools] > [  WhiteSourceAdvise ]を選択します

  • 上部のツールバーから、WhiteSource アイコンをクリックし ます

  • 次のようにします。

    1. 右のサイドバーから、[WhiteSource] をクリック

    2. トップから [Advise] をクリック。

    3. [Run WhiteSource Advise] クリックします

開発者フォーカスモード

開発者フォーカスモードでは、開発者は、事前定義された基本ブランチと比較して、機能ブランチで新しい脆弱性アラートのみを表示できます。これにより、セキュリティシフトレフトアプローチが促進され、開発者は、機能開発作業の一環として、脆弱なコードを本番ブランチにマージする前に、新しく導入された脆弱性をすぐに修正できるようになります。

フォーカスモードを有効にするには:

  • WhiteSource Adviseプロジェクトレベルの構成で、[差分操作をベースブランチで実行する]チェックボックスを有効にします。

  • 他のすべてのブランチスキャンが比較されるベースブランチを選択します

  • 確認してくださいベースのブランチはチェックアウトとWhiteSourceトリガされるアドバイスのスキャンを手動またはプロジェクトを構築することにより。

初期構成後に事前定義されたベースブランチでスキャンが行われなかった場合、新しく作成されたセキュリティアラートだけでなく、すべてのブランチにすべてのスキャン結果が表示されます。 

  

基本ブランチ構成が変更されるたびに、新しいセキュリティ結果を表示する前に、そのブランチでWhiteSourceAdviseスキャンをトリガーする必要があります。 

脆弱なコミットアラート

IntelliJ内でコードをコミットするときに、新しく追加された脆弱性について通知するアラートを有効にすることができます。このアラートは、コミットされた機能ブランチに、事前構成されたベースブランチと比較して新しい脆弱性がある場合にのみ表示されます。

Vulnerable Commit Alertを有効にするには、次のようにします。

  • フォーカスモードを有効にします(差分操作を有効にし、ベースブランチを選択して、WhiteSource Adviseスキャンをトリガーします)。

  • [設定]> [バージョン管理]> [コミット]> [コミット前]に移動し、[新しいOSの脆弱性について通知する]が有効になっていることを確認します。

機能ブランチに新しい脆弱性(基本ブランチには表示されなかった)が含まれている場合、ポップアップが表示され、見つかった脆弱性を確認するか、とにかくコミットするように提案されます。

スキャン結果の確認

スキャン結果を表示するには、次のようにします。

  1. 下部にある [Inspection Results] タブをクリックします(すでに開いている可能性があります)。

  2. [WhiteSource Security Check] タブが表示されていることを確認します(これは [Inspection Results] の表示領域の一部です )。このタブには、現在のプロジェクト内で見つかった脆弱性の問題に関する情報が表示されます。すべての Maven モジュールについて、関連する脆弱性が pom.xml アイテムを介して表示されます。次の機能に注意してください。

    • 各 pom.xml アイテムの横に、エラーと警告の総数がこの形式で表示されます(例:<pom.xml 20 errors 32 warnings> )。重大度の高いセキュリティの脆弱性はエラーとして表され、セキュリティが中/低の脆弱性は警告として表されます。 

    • pom.xml アイテムリスト内の各コンポーネントは、次のメタデータで構成されています。

      • コンポーネントの groupId

      • コンポーネントのartifactId

      • コンポーネントのバージョン

      • 脆弱性の一意の識別子

      • 推移的または直接的な依存関係の表示

    • コンポーネントをダブルクリックすると、そのコンポーネントが参照されていた pom.xml ファイルが開きます。宣言した直接の依存関係を指します。

スキャンされたコンポーネントの脆弱性情報の表示

このセクションでは、WhiteSource Adviseを使用して、IntelliJ のメインコードビューを介してプロジェクトのセキュリティ脆弱性の詳細を表示する方法について説明します。

 [WhiteSource security check] タブを開き、次のようにします。

  • プロジェクトの pom.xml ビューで報告された脆弱性によって参照されているコンポーネントをすばやく見つけるには、 [WhiteSource security check] タブでコンポーネントをダブルクリックします。pom.xml ファイルで参照されているコンポーネントの説明が表示され、メインコードビューで強調表示されます。

  • pom.xml ビューでコンポーネントの脆弱性分析結果をすばやく見つけるには、pom.xml でそのコンポーネント参照の左側に表示される WhiteSource Advise 重大度アイコンをクリックします。 アイコンは脆弱性の重大度を示していることに注意してください(黄色:重大度が低い、オレンジ:重大度が中程度、赤:重大度が高い)。プロプライエタリコードからオープンソースコンポーネントへの依存パスを含む、関連する分析の詳細を特徴とするツールチップが表示されます。脆弱性の詳細もツールチップの一部として表示され、脆弱性識別子(CVEなど)、重大度、および可能な場合は修正の提案が含まれます。Details リンクが表示され、特定の脆弱性に関する詳細情報を提供してくれる WhiteSource Vulnerability Lab への誘導が表示されます。

  • pom.xmlビューでコンポーネントの分析の概要をすばやく表示するには、そのビューのコンポーネントのコードの上にマウスポインターを置きます。特定のコンポーネント内で見つかったすべての脆弱性のリストを特徴とするツールチップが表示されます。

汎用的なプラグイン情報の表示 

WhiteSource Advise に関するバージョン情報を表示するには、次のようにします。

  • 右側のサイドバーから、[WhiteSource] をクリックします (サイドバーが表示されない場合は、[View] > [Tool Window Bars] を選択します)。[Welcome] 画面が表示されます。

  • [Welcome] 画面で、[About] をクリック

 About 画面では、Advise プラグインのバージョンについての情報、あなたのIDEに関する一般的な情報、プライバシーポリシー利用規約が表示されます。

WhiteSourceサポート用のデバッグログの生成

デバッグログを生成するには、次のようにします。

  1. メニューバーから、[ヘルプ]をクリックします。メニューが表示されます。

  2. [診断ツール]> [デバッグログ設定]を選択します。[カスタムデバッグログの構成]ダイアログボックスが表示されます。

  3. このテキストを入力してください:#org.whitesource.intellij.plugin

  4. OK]をクリックします。

これで、統合用のデバッグログが生成されます。

White Source Advise のアップグレード 

WhiteSource Adviseプラグインをアップグレードするには、次のようにします。

  1. メニューバーから、[File] > [Settings] > [Plugins] を選択します[Installed] タブが表示されていることを確認します。インストールされているプラ​​グインのリストが表示されます。

  2. [Downloaded] セクションで [WhiteSourceAdvise] を検索 し、右側で [Update] をクリックします。
    注:新しいバージョンがない場合、[Update] ボタンは表示されないため、この手順を続行する必要はありません。 

  3. [WhiteSource Advise] 選択し ます。

  4. 再起動するように求められた場合は、再起動してください。

WhiteSource Advise のアンインストール 

WhiteSource Adviseプラグインをアンインストールするには、次のようにします。 

  1. メニューバーから、[File] > [Settings] > [Plugins] を選択します[Installed] タブが表示されていることを確認します。インストールされているプラ​​グインのリストが表示されます。 

  2. [Downloaded] セクションで、WhiteSource Advise を検索して クリックします。 WhiteSource Advise のプラグインのページが表示されます。

  3. 右側のドロップダウンボックスをクリックし、[Uninstall] をクリックします。[Plugin Uninstall] ダイアログボックスが表示されます。 

  4. [Yes] をクリックして確認します。

  5. 再起動するように求められた場合は、再起動してください。