Dependency-Check は既知の脆弱性データベースを参照して、今解析しようとする対象のソースコードやライブラリの脆弱性をチェックするものです。
Dependency-Check は、脆弱性データベースを参照するために、インターネット接続が必須です。インターネット接続が出来ない場合、データベースを最新の状態に更新できないため、チェックが不正確になる可能性があります。
Dependency-Check に異常な程時間がかかる現象は確認しておりますが、原因は特定出来ていません。もし、お客様が解析を始めた初期段階であれば、一旦、Dependency-Check を実行させないで、解析を進める事を提案します。Dependency-Check を使わないで、他の解析ツールが正常に解析完了して、Code Dx がその解析結果をインポートできるようにする事を、最初のゴールとして下さい。
また、合わせて、以下の条件を確認して下さい。
- Code Dx を実行しているマシンはインターネットに接続できているか?合わせて、ProxyやFirewallの有無と、これらを使っている場合にこれらを通り抜けるための設定情報を確認して下さい。
- 当面、Dependency-Check が本当に必要なのかを再確認して下さい。必要ないか、優先度が低い場合には、Code Dxから解析を開始するために、「Begin Analysis」ボタンを押す前に、Dependency-Check を実行対象から外すことを検討して下さい。また、プロジェクトの設定により、Dependency-Checkをデフォルトで使用しない設定も可能です。
- 解析対象のソースコードやライブラリは、正しくビルドできる集合になっているでしょうか?また、ライブラリの場合、同一のライブラリがZipに複数子含まれている場合には、正しく解析ができない場合があります。Zipには、重複してライブラリを含まないようにして下さい。