不正な依存関係の削除

この実習では、承認されていない依存関係はライセンスの確認のために含まれているだけで、アプリケーションによって実際に使用されているわけではありません。つまり安全に取り外すことができます。

  1. AWS Cloud9 に移動し、flask-app フォルダの下にある requirements.txt ファイルを開きます。 requirements-txt

  2. 以下で強調表示されている wdb の行を削除します。 

     1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14

    cffi==1.14.5
click==8.0.1
Flask==2.0.1
Flask-Cors==3.0.10
Flask-SQLAlchemy==2.5.1
greenlet==1.1.0
itsdangerous==2.0.1
Jinja2==3.0.1
MarkupSafe==2.0.1
six==1.16.0
SQLAlchemy==1.4.19
Werkzeug==2.0.1
Flask-WTF==0.15.1
wdb==3.3.0

  3. requirements.txt ファイルを保存します。requirements.txt の新しいバージョンは次のようになります。 

     1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

    cffi==1.14.5
click==8.0.1
Flask==2.0.1
Flask-Cors==3.0.10
Flask-SQLAlchemy==2.5.1
greenlet==1.1.0
itsdangerous==2.0.1
Jinja2==3.0.1
MarkupSafe==2.0.1
six==1.16.0
SQLAlchemy==1.4.19
Werkzeug==2.0.1
Flask-WTF==0.15.1

  4. Cloud9s ターミナルウィンドウに移動し、次のコマンドを入力して変更を発行します。

    cd ~/environment/flask-app
git commit -a -m"Remove Unauthorized Package"
git push

  5. AWS CodePipeline に向かって、LicenseCheck の結果を待ちます。すべてがうまくいけば、LicenseCheck Stageは成功するはずです。 license-success

おめでとう!ブラックリストに登録された依存関係を潰しました。次のモジュールでは、動的アプリケーションセキュリティテスト (DAST) について説明します。