🥇Използване на скенера за уязвимости в използвани библиотеки за проверка на зависимости в GitlabCI

Важна част от управлението на уязвимостите е задълбочено разбиране и защита на веригата за доставки на софтуерните компоненти, които изграждат съвременните системи. Екипите на Agile и DevOps използват широко библиотеки и рамки с отворен код, за да намалят времето и разходите за разработка. Но този медал има и обратна страна: възможността да наследите грешките и уязвимостите на други хора.

Очевидно екипът трябва да е сигурен, че знае кои компоненти с отворен код са включени в неговите приложения, да гарантира, че известните надеждни версии са изтеглени от известни надеждни източници и да изтегли актуализирани версии на компоненти, след като новооткритите уязвимости бъдат коригирани.

В тази публикация ще разгледаме използването на OWASP Dependency Check за прекратяване на компилация, ако открие сериозни проблеми с вашия код.

В книгата „Сигурност на разработката в гъвкави проекти“ това е описано по следния начин. OWASP Dependency Check е безплатен скенер, който каталогизира всички компоненти с отворен код, използвани в приложение, и показва уязвимостите, които съдържат. Има версии за Java, .NET, Ruby (gemspec), PHP (композитор), Node.js и Python, както и за някои C/C++ проекти. Проверката на зависимостта се интегрира с общи инструменти за изграждане, включително Ant, Maven и Gradle, и сървъри за непрекъсната интеграция като Jenkins.

Проверката на зависимостта отчита всички компоненти с известни уязвимости от Националната база данни за уязвимости (NVD) на NIST и се актуализира с данни от емисиите с новини на NVD.

За щастие, всичко това може да се направи автоматично с помощта на инструменти като проекта OWASP Dependency Check или търговски програми като Черна патица, JFrog Xray, Сник, Жизнен цикъл на Nexus Сонатип или Изчистване на източника.

Тези инструменти могат да бъдат включени в конвейери за изграждане за автоматично инвентаризиране на зависимости с отворен код, идентифициране на остарели версии на библиотеки и библиотеки, съдържащи известни уязвимости, и прекратяване на компилации, ако бъдат открити сериозни проблеми.

Проверка на зависимостта от OWASP

За да тестваме и демонстрираме как работи проверката на зависимостта, ние използваме това хранилище зависимост-проверка-пример.

За да видите HTML отчета, трябва да конфигурирате уеб сървъра nginx на вашия gitlab-runner.

Пример за минимална конфигурация на nginx:

server {
    listen       9999;
    listen       [::]:9999;
    server_name  _;
    root         /home/gitlab-runner/builds;

    location / {
        autoindex on;
    }

    error_page 404 /404.html;
        location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }
}

В края на сглобяването можете да видите тази снимка:

Следвайте връзката и вижте отчета за проверка на зависимостта.

Първата екранна снимка е горната част на отчета с резюме.

Втора екранна снимка с подробности за CVE-2017-5638. Тук виждаме нивото на CVE и връзки към подвизи.

Третата екранна снимка е подробности за log4j-api-2.7.jar. Виждаме, че нивата на CVE са 7.5 и 9.8.

Четвъртата екранна снимка е подробностите за commons-fileupload-1.3.2.jar. Виждаме, че нивата на CVE са 7.5 и 9.8.

Ако искате да използвате gitlab страници, тогава няма да работи - паднала задача няма да създаде артефакт.

Пример тук https://gitlab.com/anton_patsev/dependency-check-example-gitlab-pages.

Резултат от компилация: няма артефакти, не виждам html отчета. Трябва да опитате Artifact: винаги

https://gitlab.com/anton_patsev/dependency-check-example-gitlab-pages/-/jobs/400004246

Регулиране на нивото на CVE уязвимостите

Най-важният ред във файла gitlab-ci.yaml:

mvn $MAVEN_CLI_OPTS test org.owasp:dependency-check-maven:check -DfailBuildOnCVSS=7

С параметъра failBuildOnCVSS можете да регулирате нивото на CVE уязвимостите, на които трябва да отговорите.

Изтегляне на базата данни за уязвимости на NIST (NVD) от интернет

Забелязали ли сте, че NIST постоянно изтегля базите данни за уязвимости на NIST (NVD) от Интернет:

За да изтеглите, можете да използвате помощната програма nist_data_mirror_golang

Нека да го инсталираме и стартираме.

yum -y install yum-plugin-copr
yum copr enable antonpatsev/nist_data_mirror_golang
yum -y install nist-data-mirror
systemctl start nist-data-mirror

Nist-data-mirror качва NIST JSON CVE в /var/www/repos/nist-data-mirror/ при стартиране и актуализира данните на всеки 24 часа.

За да изтеглите CVE JSON NIST, трябва да конфигурирате уеб сървъра nginx (например на вашия gitlab-runner).

Пример за минимална конфигурация на nginx:

server {
    listen       12345;
    listen       [::]:12345;
    server_name  _;
    root         /var/www/repos/nist-data-mirror/;

    location / {
        autoindex on;
    }

    error_page 404 /404.html;
        location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }

}

За да не правим дълъг ред, когато се стартира mvn, ще преместим параметрите в отделна променлива DEPENDENCY_OPTS.

Крайната минимална конфигурация .gitlab-ci.yml ще изглежда така:

variables:
  MAVEN_OPTS: "-Dhttps.protocols=TLSv1.2 -Dmaven.repo.local=$CI_PROJECT_DIR/.m2/repository -Dorg.slf4j.simpleLogger.log.org.apache.maven.cli.transfer.Slf4jMavenTransferListener=WARN -Dorg.slf4j.simpleLogger.showDateTime=true -Djava.awt.headless=true"
  MAVEN_CLI_OPTS: "--batch-mode --errors --fail-at-end --show-version -DinstallAtEnd=true -DdeployAtEnd=true"
  DEPENDENCY_OPTS: "-DfailBuildOnCVSS=7 -DcveUrlModified=http://localhost:12345/nvdcve-1.1-modified.json.gz -DcveUrlBase=http://localhost:12345/nvdcve-1.1-%d.json.gz"

cache:
  paths:
    - .m2/repository

verify:
  stage: test
  script:
    - set +e
    - mvn $MAVEN_CLI_OPTS install org.owasp:dependency-check-maven:check $DEPENDENCY_OPTS || EXIT_CODE=$?
    - export PATH_WITHOUT_HOME=$(pwd | sed -e "s//home/gitlab-runner/builds//g")
    - echo "************************* URL Dependency-check-report.html *************************"
    - echo "http://$HOSTNAME:9999$PATH_WITHOUT_HOME/target/dependency-check-report.html"
    - set -e
    - exit ${EXIT_CODE}
  tags:
    - shell

Чат в Telegram за DevOps и сигурност
Telegram канал DevSecOps / SSDLC - Сигурна разработка

Източник: www.habr.com

Използване на скенера за уязвимости за използвани библиотеки Проверка на зависимостта в GitlabCI

Проверка на зависимостта от OWASP

Регулиране на нивото на CVE уязвимостите

Изтегляне на базата данни за уязвимости на NIST (NVD) от интернет

Добавяне на нов коментар

Използване на скенера за уязвимости за използвани библиотеки Проверка на зависимостта в GitlabCI

Проверка на зависимостта от OWASP

Регулиране на нивото на CVE уязвимостите

Изтегляне на базата данни за уязвимости на NIST (NVD) от интернет

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар