依存関係のスキャン

Safety による Build Project が構成されたので、Webアプリケーションの依存関係をスキャンして、後で対処すべき他の脆弱性がないか確認しましょう。

  1. ウェブアプリケーションでコードを変更せずに、AWS CodePipeline から 変更をリリースする をクリックしてパイプラインをトリガーし、パイプラインが SCACheck ステージに到達するのを待ちます。 release-change

  2. 最終的には、ステージが失敗したことに気付くでしょう。これは、現在 Web アプリケーション上に安全でない依存関係がある可能性があるためです。何が起こったのかを見るために、Detailsリンクをクリックしましょう。 sca-fail

  3. Link to execution details をクリックしてください。 detail-link

  4. 実行ログを下にスクロールすると、Safety レポートが表示されます。 safety-report

  5. このウェブアプリケーションは requirements.txt (Pythonアプリケーションの依存関係の仕様ファイルとして機能します) の中に insecure-package を含んでいます。このパッケージは SCA セキュリティ警告をトリガーする以外に特別なことはしません (テストやワークショップの目的で)。これを次のセクションで修正します。