English | Japanese
TeamServerに登録されている脆弱性情報及びライブラリ情報のCSV形式レポートを取得するツールです。
TeamServerから直接CSVレポートを出力することも出来ますが、本ツールではより多くの情報を取得したり
その情報をカスタマイズしたりすることが出来ます。
- Windows8.1, 10, 11
- macOS 11(Big Sur)かそれ以上
- jdk17
Release で幾つかのバイナリを提供しています。ビルド不要でダウンロード後すぐに使用できます。
- CSVDLTool_X.X.X.zip
初回ダウンロードの場合はこちらをダウンロードして解凍して、お使いください。
jreフォルダ(1.8.0_202)が同梱されているため、exeの起動ですぐにツールを使用できます。 - CSVDLTool_X.X.X.exe
既にzipをダウンロード済みの場合はexeのダウンロードと入れ替えのみでツールを使用できます。
- CSVDLTool_X.X.X.cli7z
下記コマンドで解凍してください。# p7zipのインストールについては brew install p7zip # 解凍コマンド 7z x CSVDLTool_X.X.X.cli7z
上記のバイナリはトークン認証版となります。ファイル名にauditlog
が含まれるバイナリはパスワード認証版となります。
トークン認証版では認証時にサーバ側の監査ログに記録されません1。 ですがパスワード認証版では監査ログに認証時の記録が行われます。
ご使用環境に応じてバイナリを選択してください。
- 設定画面で、TeamServerのURL、ユーザ名、サービスキーを個人のものに変更してください。
- 組織情報の追加ボタンで組織を追加してください。 組織は複数登録が可能です。CSVレポートを取得する対象の組織にチェックを入れてください。 ※ 必要に応じて、プロキシ設定も行っておいてください。
- 設定を閉じて、アプリの読み込みをして、アプリケーション一覧をロードします。
- 脆弱性のCSVを取得するアプリをダブルクリックなり矢印で選択して右のボックスに移動します。(これが対象となります)
- 取得ボタンを押下します。成功するとexeと同じ場所にcsvファイルが出力されています。
使用方法の詳細については Release からダウンロードできるzipファイルに同梱のマニュアルpdfをご確認ください。
環境にあわせてbuild.gradle
の以下箇所を弄ってください。
compile group: 'org.eclipse.swt', name: 'org.eclipse.swt.win32.win32.x86_64', version: '4.3'
//compile group: 'org.eclipse.swt', name: 'org.eclipse.swt.win32.win32.x86', version: '4.3'
//compile group: 'org.eclipse.platform', name: 'org.eclipse.swt.cocoa.macosx.x86_64', version: '3.109.0', transitive: false
//compile group: 'org.eclipse.swt', name: 'org.eclipse.swt.win32.win32.x86_64', version: '4.3'
compile group: 'org.eclipse.swt', name: 'org.eclipse.swt.win32.win32.x86', version: '4.3'
//compile group: 'org.eclipse.platform', name: 'org.eclipse.swt.cocoa.macosx.x86_64', version: '3.109.0', transitive: false
//compile group: 'org.eclipse.swt', name: 'org.eclipse.swt.win32.win32.x86_64', version: '4.3'
//compile group: 'org.eclipse.swt', name: 'org.eclipse.swt.win32.win32.x86', version: '4.3'
compile group: 'org.eclipse.platform', name: 'org.eclipse.swt.cocoa.macosx.x86_64', version: '3.109.0', transitive: false
gradlew clean jar
./gradlew clean jar
build\libs
の下にjarが作成されます。
gradlew cleanEclipse eclipse
./gradlew cleanEclipse eclipse
Eclipseでプロジェクトをリフレッシュすると、あとはJavaの実行でcom.contrastsecurity.csvdltool.Main
クラス指定で、ツールが起動します。
- launch4jを使っています。
- launch4j.xmlを読み込むと、ある程度設定が入っていて、あとはjar(ビルドによって作成された)やexeのパスを修正するぐらいです。
- jreがインストールされていない環境でも、jreフォルダを同梱することで環境に依存せずjavaを実行できるような設定になっています。
jreをDLして解凍したフォルダを jre というフォルダ名として置いておくと、優先して使用するような設定に既になっています。 - 32bit版Javaにしている理由ですが、今はもうないかもしれないですが、32bit版のwindowsの場合も想定してという感じです。
- javapackagerを使っています。
- jreを同梱させるため、実施するMacに1.8.0_202のJREフォルダを任意の場所に配置しておいてください。
- jarpackage.sh内の3〜7行目を適宜、修正してください。
- jarpackage.shを実行します。
build/libs/bundle下にappフォルダが作られます。
./jarpackage.sh ./jarpackage_auditlog.sh
まず、証明書ファイル(pfx)と証明書パスワードを入手してください。
署名についは以下の手順で実行してください。
- エイリアスの確認
keytool -list -v -storetype pkcs12 -keystore C:\Users\turbou\Desktop\CSVDLTool_work\XXXXX.pfx # 証明書パスワードを入力
- 署名
launch4jのsign4jを使用します。cd C:\Program Files (x86)\launch4j\sign4j sign4j.exe java -jar jsign-2.0.jar --alias 1 --keystore C:\Users\turbou\Desktop\CSVDLTool_work\XXXXX.pfx --storepass [パスワード] C:\Users\turbou\Desktop\CSVDLTool_work\common\CSVDLTool_2.1.4.exe
- 署名の確認
署名の確認については、exeを右クリック->プロパティ で確認できます。
- 証明書ファイルの読み込み
pfxファイルをダブルクリックでキーチェーンアクセス.appに読み込ませます。証明書パスワード入力が必要
読み込めたら、Common Name(通称)をコピー - 署名
codesign --deep -s "Contrast Security, Inc." -v CSVDLTool_2.1.4.app codesign --deep -s "Contrast Security, Inc." -v CSVDLTool_2.1.4_auditlog.app
- 署名の確認
codesign -d --verbose=4 CSVDLTool_2.1.4.app codesign -d --verbose=4 CSVDLTool_2.1.4_auditlog.app
- macOS
7z a CSVDLTool_2.1.4.cli7z CSVDLTool_2.1.4.app/ 7z a CSVDLTool_2.1.4_auditlog.cli7z CSVDLTool_2.1.4_auditlog.app/
Footnotes
-
一部環境を除きます。 ↩