安全でない依存関係の削除
安全でない依存関係の削除は、ソフトウェアの置き換え、または安全なバージョンにアップグレード / ダウングレードする(または必要でない場合は完全に削除する)ことによって行うことができます。この場合、SCA ツールによって識別された insecure-package という名前の Python パッケージはウェブアプリケーションによって実際に使用されていないため、安全に削除できます。
AWS Cloud9 に移動し、flask-app フォルダの下にある requirements.txt ファイルを開きます。
以下で強調表示されているinsecure-package と表示されている行を削除します。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15cffi==1.14.5 click==8.0.1 Flask==2.0.1 Flask-Cors==3.0.10 Flask-SQLAlchemy==2.5.1 greenlet==1.1.0 insecure-package==0.1.0 itsdangerous==2.0.1 Jinja2==3.0.1 MarkupSafe==2.0.1 six==1.16.0 SQLAlchemy==1.4.19 Werkzeug==2.0.1 Flask-WTF==0.15.1 wdb==3.3.0requirements.txt ファイルを保存します。requirements.txtの新バージョンは以下のようになるはずです:
1 2 3 4 5 6 7 8 9 10 11 12 13 14cffi==1.14.5 click==8.0.1 Flask==2.0.1 Flask-Cors==3.0.10 Flask-SQLAlchemy==2.5.1 greenlet==1.1.0 itsdangerous==2.0.1 Jinja2==3.0.1 MarkupSafe==2.0.1 six==1.16.0 SQLAlchemy==1.4.19 Werkzeug==2.0.1 Flask-WTF==0.15.1 wdb==3.3.0Cloud9 のターミナルウィンドウに移動し、これらのコマンドを入力して変更をコミットして公開します:
cd ~/environment/flask-app git commit -a -m"Remove Insecure Package" git pushAWS CodePipeline のプロセスにおいて、SCACheck の結果を待ちます。すべてうまくいけば、SCA Stageは成功するはずです。
おめでとう!サードパーティの依存関係における脆弱性を解消しました。次のモジュールではライセンス分析を行います。