DevSecOps: SCA-এর অপারেশনের নীতি এবং তুলনা। প্রথম অংশ

উন্নয়ন প্রক্রিয়ায় তৃতীয় পক্ষের সফ্টওয়্যার উপাদান বিশ্লেষণের (ইংরেজি সফ্টওয়্যার কম্পোজিশন অ্যানালাইসিস - SCA) গুরুত্ব বাড়ছে ওপেন সোর্স লাইব্রেরির দুর্বলতার উপর বার্ষিক প্রতিবেদন প্রকাশের সাথে, যা Synopsys, Sonatype, Snyk, White Source দ্বারা প্রকাশিত হয়৷ রিপোর্ট অনুযায়ী দ্য স্টেট অফ ওপেন সোর্স সিকিউরিটি ভালনারেবিলিটিস 2020 2019 সালে ওপেন সোর্সে চিহ্নিত দুর্বলতার সংখ্যা আগের বছরের তুলনায় প্রায় 1.5 গুণ বেড়েছে, যখন ওপেন সোর্স উপাদানগুলি 60% থেকে 80% প্রকল্পে ব্যবহৃত হয়। একটি স্বাধীন মতামতে, SCA প্রক্রিয়াগুলি হল OWASP SAMM এবং BSIMM থেকে একটি পরিপক্কতা সূচক হিসাবে একটি পৃথক অনুশীলন, এবং 2020 এর প্রথমার্ধে, OWASP একটি নতুন OWASP সফ্টওয়্যার কম্পোনেন্ট ভেরিফিকেশন স্ট্যান্ডার্ড (SCVS) প্রকাশ করে যা তৃতীয়-পক্ষ যাচাই করার জন্য সর্বোত্তম অনুশীলন প্রদান করে। সাপ্লাই চেইন BY এর উপাদান।

সবচেয়ে দৃষ্টান্তমূলক ক্ষেত্রে এক ঘটেছিলো ইকুইফ্যাক্সের সাথে মে 2017। অজানা আক্রমণকারীরা সম্পূর্ণ নাম, ঠিকানা, সামাজিক নিরাপত্তা নম্বর এবং ড্রাইভারের লাইসেন্স সহ 143 মিলিয়ন আমেরিকানদের তথ্য পেয়েছে। 209 ক্ষেত্রে, নথিতে ক্ষতিগ্রস্তদের ব্যাঙ্ক কার্ডের তথ্যও অন্তর্ভুক্ত ছিল। এই ফাঁসটি Apache Struts 000 (CVE-2-2017) এর একটি গুরুতর দুর্বলতার শোষণের ফলস্বরূপ ঘটেছে, যখন ফিক্সটি মার্চ 5638 এ মুক্তি দেওয়া হয়েছিল। আপডেটটি ইনস্টল করার জন্য সংস্থাটির কাছে দুই মাস সময় ছিল, তবে কেউ এটি নিয়ে মাথা ঘামায়নি।

এই নিবন্ধটি বিশ্লেষণের ফলাফলের মানের পরিপ্রেক্ষিতে SCA পরিচালনার জন্য একটি টুল বেছে নেওয়ার বিষয়ে আলোচনা করবে। যন্ত্রগুলির একটি কার্যকরী তুলনাও দেওয়া হবে। আমরা সিআই/সিডিতে এম্বেড করার প্রক্রিয়া ছেড়ে দেব এবং পরবর্তী প্রকাশনার জন্য একীকরণের সুযোগ। OWASP দ্বারা বিস্তৃত সরঞ্জাম প্রবর্তন করা হয়েছে আপনার ওয়েবসাইটে, কিন্তু বর্তমান পর্যালোচনার অংশ হিসেবে, আমরা শুধুমাত্র সবচেয়ে জনপ্রিয় ওপেন সোর্স ডিপেনডেন্সি চেক টুল, সামান্য কম পরিচিত ওপেন সোর্স ডিপেনডেন্সি ট্র্যাক প্ল্যাটফর্ম এবং সোনাটাইপ নেক্সাস আইকিউ এন্টারপ্রাইজ সলিউশনে স্পর্শ করব। আমরা এই সমাধানগুলি কীভাবে কাজ করে তাও বুঝতে পারব এবং মিথ্যা ইতিবাচকের জন্য প্রাপ্ত ফলাফলের তুলনা করব।

কিভাবে এটি কাজ করে

নির্ভরতা পরীক্ষা একটি ইউটিলিটি (CLI, maven, jenkins মডিউল, ant) ​​যেটি প্রকল্পের ফাইলগুলি বিশ্লেষণ করে, নির্ভরতা সম্পর্কে তথ্যের টুকরো সংগ্রহ করে (প্যাকেজের নাম, গ্রুপিড, স্পেসিফিকেশন শিরোনাম, সংস্করণ ...), একটি CPE স্ট্রিং তৈরি করে - (সাধারণ প্ল্যাটফর্ম গণনা ), প্যাকেজ URL ( PURL) এবং ডেটাবেস (NVD, Sonatype OSS Index, NPM Audit API…) থেকে CPE/PURL-এর জন্য দুর্বলতা সনাক্ত করে, যার পরে এটি HTML, JSON, XML ফর্ম্যাটে একটি এককালীন প্রতিবেদন তৈরি করে...

CPE দেখতে কেমন তা বিবেচনা করুন:

cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other

• পার্ট: একটি ইঙ্গিত যে উপাদানটি অ্যাপ্লিকেশন (a), অপারেটিং সিস্টেম (o), হার্ডওয়্যার (h) (প্রয়োজনীয় আইটেম) এর অন্তর্গত
• বিক্রেতা: পণ্য প্রস্তুতকারকের নাম (প্রয়োজনীয় আইটেম)
• পণ্য: পণ্যের নাম (প্রয়োজনীয়)
• সংস্করণ: উপাদান সংস্করণ (অপ্রচলিত আইটেম)
• আপডেট: প্যাকেজ আপডেট
• সংস্করণ: উত্তরাধিকারসূত্রে প্রাপ্ত সংস্করণ (অপ্রচলিত আইটেম)
• ভাষা: RFC-5646-এ সংজ্ঞায়িত ভাষা
• SW সংস্করণ: সফ্টওয়্যার সংস্করণ
• লক্ষ্য SW: সফ্টওয়্যার পরিবেশ যেখানে পণ্য চলে
• লক্ষ্য HW: হার্ডওয়্যার পরিবেশ যেখানে পণ্য চলছে
• অন্য: সরবরাহকারী বা পণ্যের তথ্য

একটি উদাহরণ CPE এই মত দেখায়:

cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*

স্ট্রিং এর অর্থ হল CPE সংস্করণ 2.3 নির্মাতার একটি অ্যাপ্লিকেশন উপাদান বর্ণনা করে pivotal_software নাম সহ spring_framework সংস্করণ 3.0.0। আমরা একটি দুর্বলতা খুললে জন্য CVE-2014-0225 NVD-তে, আমরা এই CPE-এর উল্লেখ দেখতে পাচ্ছি। প্রথম যে সমস্যাটির দিকে আপনার অবিলম্বে মনোযোগ দেওয়া উচিত তা হল এনভিডি-তে CVE, CPE অনুযায়ী, ফ্রেমওয়ার্কের মধ্যে একটি সমস্যার উপস্থিতি রিপোর্ট করে, একটি নির্দিষ্ট উপাদানে নয়। অর্থাৎ, যদি ডেভেলপাররা ফ্রেমওয়ার্কের সাথে শক্তভাবে আবদ্ধ থাকে, এবং চিহ্নিত দুর্বলতা বিকাশকারীরা ব্যবহার করে এমন মডিউলগুলিতে প্রযোজ্য না হয়, তাহলে নিরাপত্তা বিশেষজ্ঞকে এই CVE-কে আলাদা করতে হবে এবং আপডেট করার কথা ভাবতে হবে।

ইউআরএলটি SCA টুল দ্বারাও ব্যবহৃত হয়। প্যাকেজ URL বিন্যাস নিম্নরূপ:

scheme:type/namespace/name@version?qualifiers#subpath

• পরিকল্পনা: সর্বদা 'pkg' থাকবে যা নির্দেশ করে যে এটি একটি প্যাকেজ URL (প্রয়োজনীয়)
• প্রকার: প্যাকেজের "প্রকার" বা প্যাকেজের "প্রোটোকল", যেমন মাভেন, এনপিএম, নুগেট, জেম, পাইপি ইত্যাদি। (প্রয়োজনীয় আইটেম)
• নামস্থান: কিছু নাম উপসর্গ, যেমন একটি Maven গ্রুপ আইডি, ডকার ছবির মালিক, GitHub ব্যবহারকারী বা সংস্থা। ঐচ্ছিক এবং প্রকারের উপর নির্ভর করে।
• নাম: প্যাকেজের নাম (প্রয়োজনীয়)
• সংস্করণ: প্যাকেজ সংস্করণ
• যোগ্যতা: প্যাকেজের জন্য অতিরিক্ত যোগ্যতার ডেটা, যেমন OS, আর্কিটেকচার, ডিস্ট্রিবিউশন, ইত্যাদি। ঐচ্ছিক এবং টাইপ-নির্দিষ্ট আইটেম।
• উপপথ: প্যাকেজের রুটের সাথে সম্পর্কিত প্যাকেজে অতিরিক্ত পাথ

উদাহরণস্বরূপ:

pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/io@1.3.4
pkg:pypi/django-package@1.11.1.dev1

নির্ভরতা ট্র্যাক — অন-প্রিমিস ওয়েব প্ল্যাটফর্ম যা তৈরিকৃত বিল অফ ম্যাটেরিয়ালস (BOM) গ্রহণ করে ঘূর্ণিঝড় ডিএক্স и SPDX, অর্থাৎ, উপলব্ধ নির্ভরতা সম্পর্কে রেডিমেড স্পেসিফিকেশন। এটি নির্ভরতা - নাম, হ্যাশ, প্যাকেজ url, প্রকাশক, লাইসেন্সের বিবরণ সহ একটি XML ফাইল৷ এরপরে, নির্ভরতা ট্র্যাক BOM কে পার্স করে, দুর্বলতা ডাটাবেস (NVD, Sonatype OSS Index ...) থেকে চিহ্নিত নির্ভরতার জন্য উপলব্ধ CVE গুলি দেখে এবং তারপরে গ্রাফ তৈরি করে, মেট্রিক্স গণনা করে, উপাদানগুলির দুর্বলতার অবস্থার উপর নিয়মিত ডেটা আপডেট করে .

XML বিন্যাসে একটি BOM দেখতে কেমন হতে পারে তার একটি উদাহরণ:

<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
  <components>
    <component type="library">
      <publisher>Apache</publisher>
      <group>org.apache.tomcat</group>
      <name>tomcat-catalina</name>
      <version>9.0.14</version>
      <hashes>
        <hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
        <hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
        <hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
        <hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
      </hashes>
      <licenses>
        <license>
          <id>Apache-2.0</id>
        </license>
      </licenses>
      <purl>pkg:maven/org.apache.tomcat/tomcat-catalina@9.0.14</purl>
    </component>
      <!-- More components here -->
  </components>
</bom>

BOM শুধুমাত্র নির্ভরতা ট্র্যাকের জন্য ইনপুট পরামিতি হিসাবে নয়, সরবরাহ শৃঙ্খলে সফ্টওয়্যার উপাদানগুলি ইনভেন্টরি করার জন্যও ব্যবহার করা যেতে পারে, উদাহরণস্বরূপ, একজন গ্রাহককে সফ্টওয়্যার সরবরাহ করার জন্য। 2014 সালে, একটি আইন এমনকি মার্কিন যুক্তরাষ্ট্রে বিবেচনার জন্য প্রস্তাব করা হয়েছিল «সাইবার সাপ্লাই চেইন ম্যানেজমেন্ট অ্যান্ড ট্রান্সপারেন্সি অ্যাক্ট অফ 2014», যা বলেছে যে সফ্টওয়্যার কেনার সময়, যে কোনও রাজ্য। একটি প্রতিষ্ঠানকে অবশ্যই একটি BOM অনুরোধ করতে হবে যাতে দুর্বল উপাদানের ব্যবহার রোধ করা যায়, কিন্তু আইনটি কার্যকর হয়নি।

SCA-তে ফিরে, ডিপেনডেন্সি ট্র্যাকে স্ল্যাকের মতো নোটিফিকেশন প্ল্যাটফর্ম, কেননা সিকিউরিটির মতো দুর্বলতা ব্যবস্থাপনা সিস্টেমের সাথে আউট-অফ-দ্য-বক্স ইন্টিগ্রেশন রয়েছে। এটাও উল্লেখ করার মতো যে ডিপেনডেন্সি ট্র্যাক প্যাকেজের অপ্রচলিত সংস্করণগুলি সনাক্ত করে এবং লাইসেন্স সম্পর্কে তথ্য প্রদান করে (SPDX সমর্থনের কারণে)।

যদি আমরা বিশেষভাবে SCA এর গুণমান সম্পর্কে কথা বলি, তাহলে একটি মৌলিক পার্থক্য রয়েছে।

নির্ভরতা ট্র্যাক একটি ইনপুট হিসাবে একটি প্রকল্প গ্রহণ করে না, বরং একটি BOM. এর মানে হল যে আমরা যদি প্রকল্পটি পরীক্ষা করতে চাই, আমাদের প্রথমে bom.xml তৈরি করতে হবে, উদাহরণস্বরূপ CycloneDX এর সাথে। সুতরাং, নির্ভরতা ট্র্যাক সরাসরি সাইক্লোনডিএক্সের উপর নির্ভর করে। একই সময়ে, এটি কাস্টমাইজেশনের জন্য অনুমতি দেয়। তাই ওজোন দল লিখেছে সাইক্লোনডিএক্স মডিউল ডিপেনডেন্সি ট্র্যাকের মাধ্যমে আরও স্ক্যান করার জন্য গোলং প্রকল্পগুলির জন্য BOM ফাইল তৈরি করা।

নেক্সাস আইকিউ Sonatype থেকে একটি বাণিজ্যিক SCA সমাধান, যা Sonatype ইকোসিস্টেমের অংশ, যার মধ্যে নেক্সাস রিপোজিটরি ম্যানেজারও রয়েছে। যদি আপনার প্রতিষ্ঠানের সাইক্লোনডিএক্স থেকে নতুন সমাধানে স্যুইচ করার সময় না থাকে তবে নেক্সাস আইকিউ ওয়েব ইন্টারফেস বা API এর মাধ্যমে যুদ্ধ সংরক্ষণাগার (জাভা প্রকল্পের জন্য) এবং BOM উভয় ইনপুট হিসাবে গ্রহণ করতে পারে। ওপেন সোর্স সলিউশনের বিপরীতে, IQ শুধুমাত্র চিহ্নিত কম্পোনেন্টের CP/PURL এবং ডাটাবেসের সংশ্লিষ্ট দুর্বলতাকেই বোঝায় না, বরং এর নিজস্ব গবেষণাকেও বিবেচনা করে, উদাহরণস্বরূপ, দুর্বল ফাংশন বা ক্লাসের নাম। IQ এর প্রক্রিয়াগুলি পরে ফলাফল বিশ্লেষণে আলোচনা করা হবে।

আসুন কিছু কার্যকরী বৈশিষ্ট্যের সংক্ষিপ্তসার করি, এবং বিশ্লেষণের জন্য সমর্থিত ভাষাগুলিও বিবেচনা করি:

ভাষা
নেক্সাস আইকিউ
নির্ভরতা পরীক্ষা
নির্ভরতা ট্র্যাক

জাভা
+
+
+

সি / সি ++
+
+
-

C#
+
+
-

নেট
+
+
+

এরলং
-
-
+

জাভাস্ক্রিপ্ট (নোডজেএস)
+
+
+

পিএইচপি
+
+
+

পাইথন
+
+
+

চুনি
+
+
+

পার্ল
-
-
-

scala
+
+
+

উদ্দেশ্য সি
+
+
-

সত্বর
+
+
-

R
+
-
-

Go
+
+
+

কার্যকারিতা

কার্যকারিতা
নেক্সাস আইকিউ
নির্ভরতা পরীক্ষা
নির্ভরতা ট্র্যাক

সোর্স কোডে ব্যবহৃত উপাদানগুলি লাইসেন্সের বিশুদ্ধতার জন্য পরীক্ষা করা হয়েছে তা নিশ্চিত করার ক্ষমতা
+
-
+

ডকার ইমেজের জন্য দুর্বলতা এবং লাইসেন্স পরিচ্ছন্নতার জন্য স্ক্যান এবং বিশ্লেষণ করার ক্ষমতা
+ Clair সঙ্গে একীকরণ
-
-

ওপেন সোর্স লাইব্রেরি ব্যবহার করার জন্য নিরাপত্তা নীতি কনফিগার করার ক্ষমতা
+
-
-

দুর্বল উপাদানগুলির জন্য ওপেন সোর্স সংগ্রহস্থল স্ক্যান করার ক্ষমতা
+ RubyGems, Maven, NPM, Nuget, Pypi, Conan, Bower, Conda, Go, p2, R, Yum, Helm, Docker, CocoaPods, Git LFS
-
+ হেক্স, রুবিজেমস, মাভেন, এনপিএম, নুগেট, পাইপি

একটি নিবেদিত গবেষণা দলের প্রাপ্যতা
+
-
-

একটি ক্লোজ সার্কিটে অপারেশন
+
+
+

তৃতীয় পক্ষের ডাটাবেস ব্যবহার করে
+ বন্ধ ডাটাবেস সোনাটাইপ
+ সোনাটাইপ ওএসএস, এনপিএম পাবলিক অ্যাডভাইজার
+ সোনাটাইপ ওএসএস, এনপিএম পাবলিক অ্যাডভাইজার, রিটায়ারজেএস, ভালনডিবি, নিজস্ব দুর্বলতা ডেটাবেস সমর্থন

কনফিগার করা নীতি অনুযায়ী ডেভেলপমেন্ট লুপে আপলোড করার চেষ্টা করার সময় ওপেন সোর্স উপাদানগুলি ফিল্টার করার ক্ষমতা
+
-
-

দুর্বলতা ঠিক করার জন্য সুপারিশ, ফিক্সের লিঙ্কগুলির উপলব্ধতা
+
+- (সর্বজনীন ডাটাবেসে বর্ণনার উপর নির্ভর করে)
+- (সর্বজনীন ডাটাবেসে বর্ণনার উপর নির্ভর করে)

সমালোচনার দ্বারা আবিষ্কৃত দুর্বলতাগুলির র‌্যাঙ্কিং
+
+
+

ভূমিকা অ্যাক্সেস মডেল
+
-
+

CLI সমর্থন
+
+
+- (শুধুমাত্র সাইক্লোনডিএক্স)

সংজ্ঞায়িত মানদণ্ড অনুযায়ী দুর্বলতা নির্বাচন / বাছাই
+
-
+

অ্যাপ্লিকেশন স্থিতি দ্বারা ড্যাশবোর্ড
+
-
+

পিডিএফ ফরম্যাটে রিপোর্ট জেনারেশন
+
-
-

JSONCSV ফর্ম্যাটে রিপোর্ট তৈরি করুন
+
+
-

রাশিয়ান ভাষা সমর্থন
-
-
-

ইন্টিগ্রেশন সুযোগ

মিশ্রণ
নেক্সাস আইকিউ
নির্ভরতা পরীক্ষা
নির্ভরতা ট্র্যাক

LDAP/অ্যাকটিভ ডিরেক্টরির সাথে ইন্টিগ্রেশন
+
-
+

বাঁশ ক্রমাগত ইন্টিগ্রেশন ইন্টিগ্রেশন
+
-
-

একটানা ইন্টিগ্রেশন সিস্টেমের সাথে ইন্টিগ্রেশন (একটানা ইন্টিগ্রেশন) TeamCity
+
-
-

ক্রমাগত ইন্টিগ্রেশন সিস্টেমের সাথে ইন্টিগ্রেশন (একটানা ইন্টিগ্রেশন) GitLab
+
+- (গিটল্যাবের জন্য একটি প্লাগইন হিসাবে)
+

অবিচ্ছিন্ন ইন্টিগ্রেশন সিস্টেমের সাথে ইন্টিগ্রেশন (একটানা ইন্টিগ্রেশন) জেনকিন্স
+
+
+

IDE প্লাগইনগুলির উপলব্ধতা
+ IntelliJ, Eclipse, Visual Studio
-
-

টুলটির ওয়েব-পরিষেবা (API) এর মাধ্যমে কাস্টম ইন্টিগ্রেশনের জন্য সমর্থন
+
-
+

নির্ভরতা পরীক্ষা

প্রথম শুরু

ইচ্ছাকৃতভাবে দুর্বল অ্যাপ্লিকেশনের উপর নির্ভরতা পরীক্ষা চালান ডিভিজেএ.

এর জন্য আমরা ব্যবহার করব নির্ভরতা চেক মাভেন প্লাগইন:

mvn org.owasp:dependency-check-maven:check

ফলস্বরূপ, নির্ভরতা-চেক-report.html লক্ষ্য ডিরেক্টরিতে উপস্থিত হবে।

ফাইলটি ওপেন করা যাক। দুর্বলতার মোট সংখ্যার সংক্ষিপ্তসারের পরে, আমরা প্যাকেজ, CPE, CVE-এর সংখ্যা নির্দেশ করে উচ্চ স্তরের তীব্রতা এবং আত্মবিশ্বাসের সাথে দুর্বলতা সম্পর্কে তথ্য দেখতে পারি।

আরও বিশদ তথ্য অনুসরণ করে, বিশেষত, যার ভিত্তিতে সিদ্ধান্ত নেওয়া হয়েছিল (প্রমাণ), অর্থাৎ একটি নির্দিষ্ট BOM।

এরপরে আসে CPE, PURL এবং CVE এর বিবরণ। যাইহোক, NVD ডাটাবেসে তাদের অনুপস্থিতির কারণে ফিক্সিংয়ের জন্য সুপারিশগুলি সংযুক্ত করা হয়নি।

পদ্ধতিগতভাবে স্ক্যান ফলাফল দেখতে, আপনি ন্যূনতম সেটিংস সহ Nginx কনফিগার করতে পারেন, অথবা প্রাপ্ত ত্রুটিগুলি একটি ত্রুটি ব্যবস্থাপনা সিস্টেমে পাঠাতে পারেন যা নির্ভরতা চেক সংযোগকারীকে সমর্থন করে। যেমন ডিফেক্ট ডোজো।

নির্ভরতা ট্র্যাক

বিন্যাস

ডিপেনডেন্সি ট্র্যাক, পরিবর্তে, ডিসপ্লে গ্রাফ সহ একটি ওয়েব-ভিত্তিক প্ল্যাটফর্ম, তাই তৃতীয় পক্ষের সমাধানে ত্রুটিগুলি সংরক্ষণ করার কোনও তীব্র সমস্যা নেই।
ইনস্টলেশনের জন্য নিম্নলিখিত সমর্থিত পরিস্থিতি রয়েছে: ডকার, ওয়ার, এক্সিকিউটেবল ওয়ার।

প্রথম শুরু

চলমান পরিষেবার URL এ যান। আমরা অ্যাডমিন / অ্যাডমিনের মাধ্যমে প্রবেশ করি, লগইন এবং পাসওয়ার্ড পরিবর্তন করি, তারপরে আমরা ড্যাশবোর্ডে যাই। আমরা যা করব তা হল একটি জাভা পরীক্ষার অ্যাপ্লিকেশনের জন্য একটি প্রকল্প তৈরি করা বাড়ি/প্রকল্প → প্রকল্প তৈরি করুন . একটি উদাহরণ হিসাবে DVJA নেওয়া যাক।

যেহেতু ডিপেনডেন্সি ট্র্যাক শুধুমাত্র BOM কে ইনপুট হিসাবে নিতে পারে তাই এই BOM কে পুনরুদ্ধার করতে হবে। ব্যবহার করা যাক সাইক্লোনডিএক্স ম্যাভেন প্লাগইন:

mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom

আমরা bom.xml পাই এবং তৈরি করা প্রজেক্টে ফাইলটি লোড করি DVJA → নির্ভরতা → BOM আপলোড করুন.

চলুন প্রশাসন → বিশ্লেষক যান. আমরা বুঝতে পারি যে আমাদের শুধুমাত্র অভ্যন্তরীণ বিশ্লেষক সক্ষম করা আছে, যার মধ্যে NVD রয়েছে। এর সাথে Sonatype OSS Index সংযোগ করা যাক।

সুতরাং, আমরা আমাদের প্রকল্পের জন্য নিম্নলিখিত ছবি পেতে:

এছাড়াও তালিকায় আপনি সোনাটাইপ ওএসএস-এর জন্য প্রযোজ্য একটি দুর্বলতা খুঁজে পেতে পারেন:

প্রধান হতাশা ছিল যে নির্ভরতা ট্র্যাক আর নির্ভরতা চেক xml রিপোর্ট গ্রহণ করে না। আমি 1.0.0 পরীক্ষা করার সময় নির্ভরতা চেক ইন্টিগ্রেশনের সর্বশেষ সমর্থিত সংস্করণগুলি ছিল 4.0.2 - 5.3.2।

এখানে видео (এবং এখানে) যখন এটি এখনও সম্ভব ছিল।

নেক্সাস আইকিউ

প্রথম শুরু

Nexus IQ ইনস্টলেশন সফ্টওয়্যার সংরক্ষণাগার থেকে আসে ডকুমেন্টেশন, কিন্তু আমরা এই উদ্দেশ্যে একটি ডকার ইমেজ কম্পাইল করেছি।

কনসোলে লগ ইন করার পরে, আপনাকে একটি সংস্থা এবং একটি অ্যাপ্লিকেশন তৈরি করতে হবে।

আপনি দেখতে পাচ্ছেন, আইকিউ-এর ক্ষেত্রে কনফিগারেশন কিছুটা জটিল, কারণ আমাদের বিভিন্ন "পর্যায়ে" (দেব, বিল্ড, স্টেজ, রিলিজ) প্রযোজ্য নীতি তৈরি করতে হবে। দুর্বল উপাদানগুলি প্রোডাকশন পাইপলাইনের কাছাকাছি যাওয়ার সাথে সাথে ব্লক করার জন্য এটি প্রয়োজনীয়, অথবা ডেভেলপারদের দ্বারা ডাউনলোড করার সময় নেক্সাস রেপোতে প্রবেশ করার সাথে সাথে ব্লক করা প্রয়োজন।

ওপেন সোর্স এবং এন্টারপ্রাইজের মধ্যে পার্থক্য অনুভব করতে, আসুন Nexus IQ এর মাধ্যমে একইভাবে একই স্ক্যান করি মাভেন প্লাগইন, আগে NexusIQ ইন্টারফেসে একটি পরীক্ষামূলক অ্যাপ্লিকেশন তৈরি করা হয়েছে dvja-test-and-compare:

mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>

IQ ওয়েব ইন্টারফেসে জেনারেট করা রিপোর্টের URL অনুসরণ করুন:

এখানে আপনি বিভিন্ন তীব্রতার মাত্রা সহ সমস্ত নীতি লঙ্ঘন দেখতে পাবেন (তথ্য থেকে নিরাপত্তা জটিল পর্যন্ত)। কম্পোনেন্টের পাশের ডি অক্ষরটির অর্থ হল কম্পোনেন্টটি ডাইরেক্ট ডিপেন্ডেন্সি, এবং কম্পোনেন্টের পাশে অক্ষরটি মানে হল যে কম্পোনেন্টটি ট্রানজিটিভ ডিপেন্ডেন্সি, অর্থাৎ এটি ট্রানজিটিভ।

যাইহোক, রিপোর্ট স্টেট অফ ওপেন সোর্স সিকিউরিটি রিপোর্ট 2020 Snyk থেকে রিপোর্ট করা হয়েছে যে Node.js, Java এবং Ruby-এ পাওয়া ওপেন সোর্স দুর্বলতার 70% এরও বেশি ট্রানজিটিভ নির্ভরতায় রয়েছে।

যদি আমরা Nexus IQ নীতি লঙ্ঘনের একটি খুলি, তাহলে আমরা উপাদানটির বিবরণ দেখতে পাব, সেইসাথে সংস্করণ গ্রাফ, যা বর্তমান সংস্করণের অবস্থান দেখায় টাইম গ্রাফে, সেইসাথে কোন সময়ে দুর্বলতা বন্ধ হয়ে যায়। দুর্বল হতে গ্রাফে মোমবাতিগুলির উচ্চতা এই উপাদানটি ব্যবহার করার জনপ্রিয়তা দেখায়।

আপনি যদি দুর্বলতা বিভাগে যান এবং CVE খুলুন, আপনি এই দুর্বলতার বিবরণ, প্রতিকারের জন্য সুপারিশগুলি এবং সেইসাথে এই উপাদানটি লঙ্ঘনের কারণ, অর্থাৎ ক্লাসের উপস্থিতি পড়তে পারেন। DiskFileitem.class.

js উপাদানগুলি সরিয়ে শুধুমাত্র তৃতীয় পক্ষের জাভা উপাদানগুলির সংক্ষিপ্তসার করা যাক। বন্ধনীতে, আমরা সেইসব দুর্বলতার সংখ্যা নির্দেশ করি যা NVD-এর বাইরে পাওয়া গেছে।

মোট নেক্সাস আইকিউ:

• নির্ভরতা স্ক্যান করা হয়েছে: 62
• দুর্বল নির্ভরতা: 16
• দুর্বলতা পাওয়া গেছে: 42 (8 সোনাটাইপ ডিবি)

মোট নির্ভরতা পরীক্ষা:

• নির্ভরতা স্ক্যান করা হয়েছে: 47
• দুর্বল নির্ভরতা: 13
• দুর্বলতা পাওয়া গেছে: 91 (14 সোনাটাইপ oss)

মোট নির্ভরতা ট্র্যাক:

• নির্ভরতা স্ক্যান করা হয়েছে: 59
• দুর্বল নির্ভরতা: 10
• দুর্বলতা পাওয়া গেছে: 51 (1 সোনাটাইপ oss)

পরবর্তী ধাপ হল ফলাফলগুলি বিশ্লেষণ করা এবং এই দুর্বলতাগুলির মধ্যে কোনটি আসল ত্রুটি এবং কোনটি মিথ্যা ইতিবাচক তা নির্ধারণ করা।

দাবিত্যাগ

এই পর্যালোচনা একটি অবিসংবাদিত সত্য নয়. অন্যদের পটভূমির বিরুদ্ধে একটি পৃথক যন্ত্রকে একক করার লক্ষ্য লেখকের ছিল না। পর্যালোচনার উদ্দেশ্য ছিল SCA সরঞ্জামগুলি কীভাবে কাজ করে এবং কীভাবে তাদের ফলাফলগুলি পরীক্ষা করা যায় তা দেখানো।

ফলাফলের তুলনা

চুক্তি এবং শর্তাবলী:

তৃতীয় পক্ষের উপাদান দুর্বলতার জন্য মিথ্যা ইতিবাচক হল:

• চিহ্নিত উপাদানের সাথে CVE অমিল
• উদাহরণস্বরূপ, যদি struts2 ফ্রেমওয়ার্কের মধ্যে একটি দুর্বলতা পাওয়া যায় এবং টুলটি স্ট্রটস-টাইলস ফ্রেমওয়ার্কের এমন একটি উপাদানকে নির্দেশ করে যা এই দুর্বলতা দ্বারা প্রভাবিত হয় না, তাহলে এটি একটি মিথ্যা ইতিবাচক
• সনাক্ত করা উপাদান সংস্করণের সাথে CVE অমিল
• উদাহরণস্বরূপ, দুর্বলতাটি পাইথন সংস্করণ > 3.5 এর সাথে সংযুক্ত এবং টুলটি সংস্করণ 2.7 কে দুর্বল হিসাবে চিহ্নিত করে - এটি মিথ্যা ইতিবাচক, কারণ প্রকৃতপক্ষে দুর্বলতা শুধুমাত্র 3.x পণ্য শাখায় প্রযোজ্য
• CVE-এর নকল
• উদাহরণস্বরূপ, যদি SCA একটি CVE নির্দেশ করে যা একটি RCE বাস্তবায়নের অনুমতি দেয়, তাহলে SCA একই CVE নির্দেশ করে যা সেই RCE-এর অধীন Cisco পণ্যগুলিতে প্রযোজ্য। এই ক্ষেত্রে, এটি মিথ্যা পজিটিভ হবে।
• উদাহরণস্বরূপ, স্প্রিং-ওয়েব কম্পোনেন্টে একটি CVE পাওয়া গেছে, যার পরে SCA স্প্রিং ফ্রেমওয়ার্কের অন্যান্য উপাদানগুলিতে একই CVE নির্দেশ করে, যখন CVE-এর অন্যান্য উপাদানগুলির সাথে কিছুই করার নেই। এই ক্ষেত্রে, এটি মিথ্যা পজিটিভ হবে।

গবেষণার বিষয় হল ওপেন সোর্স প্রজেক্ট ডিভিজেএ। গবেষণায় শুধুমাত্র জাভা উপাদান (js ছাড়া) জড়িত।

সারাংশ ফলাফল

চিহ্নিত দুর্বলতাগুলির একটি ম্যানুয়াল পর্যালোচনার ফলাফলের দিকে এগিয়ে যাওয়া যাক৷ প্রতিটি CVE-এর জন্য একটি সম্পূর্ণ প্রতিবেদন পরিশিষ্টে পাওয়া যাবে।

সমস্ত দুর্বলতার জন্য সংক্ষিপ্ত ফলাফল:

স্থিতিমাপ
নেক্সাস আইকিউ
নির্ভরতা পরীক্ষা
নির্ভরতা ট্র্যাক

মোট দুর্বলতা চিহ্নিত করা হয়েছে
42
91
51

ভুলভাবে চিহ্নিত দুর্বলতা (ফলস ইতিবাচক)
2 (4.76%)
62 (68,13%)
29 (56.86%)

কোন প্রাসঙ্গিক দুর্বলতা পাওয়া যায়নি (মিথ্যা নেতিবাচক)
10
20
27

উপাদান দ্বারা সংক্ষিপ্ত ফলাফল:

স্থিতিমাপ
নেক্সাস আইকিউ
নির্ভরতা পরীক্ষা
নির্ভরতা ট্র্যাক

মোট উপাদান প্রকাশিত
62
47
59

মোট দুর্বল উপাদান
16
13
10

দুর্বল উপাদানগুলি ভুলভাবে চিহ্নিত করা হয়েছে (ফলস ইতিবাচক)
1
5
0

দুর্বল উপাদানগুলি ভুলভাবে চিহ্নিত করা হয়েছে (ফলস ইতিবাচক)
0
6
6

মোট দুর্বলতার সংখ্যার সাথে মিথ্যা ধনাত্মক এবং মিথ্যা নেতিবাচক অনুপাত অনুমান করতে ভিজ্যুয়াল গ্রাফ তৈরি করা যাক। উপাদানগুলি অনুভূমিকভাবে চিহ্নিত করা হয়, এবং তাদের মধ্যে চিহ্নিত দুর্বলতাগুলি উল্লম্বভাবে চিহ্নিত করা হয়।

তুলনামূলকভাবে, সোনাটাইপ টিম OWASP নির্ভরতা চেক ব্যবহার করে 1531টি উপাদানের একটি প্রকল্প পরীক্ষা করে অনুরূপ একটি গবেষণা পরিচালনা করেছে। আমরা দেখতে পাচ্ছি, সঠিক প্রতিক্রিয়াগুলির জন্য গোলমালের অনুপাত আমাদের ফলাফলের সাথে সামঞ্জস্যপূর্ণ।

উত্স: www.sonatype.com/why-precision-matters-ebook

এই ধরনের ফলাফলের কারণ বোঝার জন্য আমাদের স্ক্যান ফলাফল থেকে কিছু CVE দেখে নেওয়া যাক।

আরো পড়ুন

№1

আসুন প্রথমে সোনাটাইপ নেক্সাস আইকিউ এর কিছু আকর্ষণীয় পয়েন্ট বিশ্লেষণ করি।

Nexus IQ স্প্রিং ফ্রেমওয়ার্কে একাধিকবার RCE করার ক্ষমতা সহ একটি ডিসিরিয়ালাইজেশন সমস্যা নির্দেশ করে। স্প্রিং-ওয়েবে CVE-2016-1000027: 3.0.5 প্রথমবার, এবং CVE-2011-2894 স্প্রিং-প্রসঙ্গে: 3.0.5 এবং স্প্রিং-কোর: 3.0.5। প্রথমে, মনে হচ্ছে বেশ কয়েকটি CVE জুড়ে দুর্বলতার একটি নকল রয়েছে। কারণ, আপনি যদি NVD ডাটাবেসে CVE-2016-1000027 এবং CVE-2011-2894 দেখেন, তাহলে মনে হয় সবকিছুই স্পষ্ট।

উপাদান
ক্ষতিগ্রস্থতা

spring-web:3.0.5
জন্য CVE-2016-1000027

বসন্ত-প্রসঙ্গ: 3.0.5
জন্য CVE-2011-2894

স্প্রিং-কোর: 3.0.5
জন্য CVE-2011-2894

বিবরণ জন্য CVE-2011-2894 এনভিডি থেকে:


বিবরণ জন্য CVE-2016-1000027 এনভিডি থেকে:


CVE-2011-2894 নিজেই বেশ পরিচিত। প্রতিবেদনে 2011 এর জন্য সাদা উৎস এই CVE সবচেয়ে সাধারণ এক হিসাবে স্বীকৃত হয়েছে. CVE-2016-100027-এর বিবরণ, নীতিগতভাবে, NVD-তে খুব কম, এবং এটি শুধুমাত্র স্প্রিং ফ্রেমওয়ার্ক 4.1.4-এর জন্য প্রযোজ্য বলে মনে হয়। চলুন দেখে নেওয়া যাক উল্লেখ এবং এখানে এটা কমবেশি পরিষ্কার হয়ে যায়। থেকে টেনিবল নিবন্ধ আমরা বুঝতে পারি যে দুর্বলতা ছাড়াও RemoteInvocationSerializingExporter CVE-2011-2894-এ, দুর্বলতা দেখা যায় HttpInvokerServiceExporter. এটি নেক্সাস আইকিউ আমাদের বলে:

যাইহোক, NVD-তে এরকম কিছুই নেই, যার কারণে নির্ভরতা চেক এবং নির্ভরতা ট্র্যাক মিথ্যা নেতিবাচক প্রাপ্ত হয়।

এটি CVE-2011-2894-এর বর্ণনা থেকেও বোঝা যায় যে দুর্বলতা প্রকৃতপক্ষে স্প্রিং-প্রসঙ্গ: 3.0.5 এবং স্প্রিং-কোর: 3.0.5 উভয় ক্ষেত্রেই বিদ্যমান। যিনি এই দুর্বলতা খুঁজে পেয়েছেন তার কাছ থেকে নিবন্ধে এর নিশ্চয়তা পাওয়া যাবে।

№2

উপাদান
ক্ষতিগ্রস্থতা
ফল

struts2-core:2.3.30
জন্য CVE-2016-4003
মিথ্যা

আমরা যদি CVE-2016-4003 দুর্বলতা অধ্যয়ন করি, তাহলে আমরা বুঝতে পারব যে এটি 2.3.28 সংস্করণে স্থির করা হয়েছে, তবুও Nexus IQ আমাদের এটি সম্পর্কে জানায়৷ দুর্বলতার বর্ণনায় একটি নোট রয়েছে:

অর্থাৎ, দুর্বলতা শুধুমাত্র জেআরই-এর একটি পুরানো সংস্করণের সাথে একত্রে বিদ্যমান, যেটি সম্পর্কে তারা আমাদের সতর্ক করার সিদ্ধান্ত নিয়েছে। তবুও, আমরা এটিকে মিথ্যা ইতিবাচক বিবেচনা করি, যদিও সবচেয়ে ভয়ঙ্কর নয়।

3 নং

উপাদান
ক্ষতিগ্রস্থতা
ফল

xwork-core:2.3.30
জন্য CVE-2017-9804
'সত্য'

xwork-core:2.3.30
জন্য CVE-2017-7672
মিথ্যা

আমরা যদি CVE-2017-9804 এবং CVE-2017-7672-এর বিবরণ দেখি, আমরা বুঝতে পারব যে সমস্যাটি URLValidator class, CVE-2017-9804 সহ CVE-2017-7672 থেকে উদ্ভূত। দ্বিতীয় দুর্বলতার উপস্থিতি কোনো পেলোড বহন করে না, এর তীব্রতা উচ্চ হয়ে গেছে, তাই এটিকে অপ্রয়োজনীয় শব্দ হিসেবে বিবেচনা করা যেতে পারে।

সামগ্রিকভাবে, Nexus IQ-এর জন্য অন্য কোনো মিথ্যা ইতিবাচক পাওয়া যায়নি।

№4

কিছু জিনিস আছে যা আইকিউকে অন্যান্য সমাধান থেকে আলাদা করে তোলে।

উপাদান
ক্ষতিগ্রস্থতা
ফল

spring-web:3.0.5
জন্য CVE-2020-5398
'সত্য'

এনভিডি-তে CVE বলে যে এটি শুধুমাত্র 5.2.x থেকে 5.2.3, 5.1.x থেকে 5.1.13 সংস্করণ এবং 5.0.x থেকে 5.0.16 সংস্করণে প্রযোজ্য, তবে, আমরা যদি Nexus IQ-তে CVE বর্ণনা দেখি, তারপর আমরা নিম্নলিখিত দেখতে পাব:
পরামর্শমূলক বিচ্যুতি বিজ্ঞপ্তি: সোনাটাইপ নিরাপত্তা গবেষণা দল আবিষ্কার করেছে যে এই দুর্বলতাটি 3.0.2.RELEASE সংস্করণে প্রবর্তন করা হয়েছে এবং 5.0.x নয় যেমন পরামর্শে বলা হয়েছে৷

এটি এই দুর্বলতার জন্য একটি PoC অনুসরণ করে, যা বলে যে এটি 3.0.5 সংস্করণে উপস্থিত রয়েছে।

ফলস নেগেটিভ ডিপেন্ডেন্সি চেক এবং ডিপেনডেন্সি ট্র্যাকে পাঠানো হয়।

№5

আসুন নির্ভরতা চেক এবং নির্ভরতা ট্র্যাকের জন্য মিথ্যা পজিটিভ দেখি।

নির্ভরতা চেক বিশেষভাবে দাঁড়িয়েছে কারণ এটি সেই CVEগুলিকে প্রতিফলিত করে যেগুলি NVD-এর সম্পূর্ণ কাঠামোতে সেই সমস্ত উপাদানগুলির জন্য প্রযোজ্য যেখানে এই CVEগুলি প্রযোজ্য নয়৷ এটি CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016-এর ক্ষেত্রে প্রযোজ্য, যা "1182-এর শেষের দিকে চেক করা হয়েছে। ” থেকে স্ট্রটস-ট্যাগলিব:1.3.8 এবং স্ট্রটস-টাইলস-1.3.8। CVE-তে যা বর্ণনা করা হয়েছে তার সাথে এই উপাদানগুলির কোনো সম্পর্ক নেই - অনুরোধ প্রক্রিয়াকরণ, পৃষ্ঠার বৈধতা ইত্যাদি। এটি এই কারণে যে এই CVE এবং উপাদানগুলির মধ্যে শুধুমাত্র ফ্রেমওয়ার্ক সাধারণ, এই কারণেই নির্ভরতা চেক এটিকে একটি দুর্বলতা হিসাবে বিবেচনা করে।

স্প্রিং-টিএক্স:3.0.5 এর সাথে একই পরিস্থিতি এবং স্ট্রটস-কোর:1.3.8 এর সাথে একই পরিস্থিতি। স্ট্রটস-কোরের জন্য, নির্ভরতা চেক এবং নির্ভরতা ট্র্যাক অনেকগুলি দুর্বলতা খুঁজে পেয়েছে যা আসলে স্ট্রটস2-কোরের ক্ষেত্রে প্রযোজ্য, যা মূলত একটি পৃথক কাঠামো। এই ক্ষেত্রে, নেক্সাস আইকিউ সঠিকভাবে ছবিটি বুঝতে পেরেছিল এবং এটি যে CVEগুলি জারি করেছিল, তাতে ইঙ্গিত দেওয়া হয়েছিল যে স্ট্রটস-কোর জীবনের শেষ হয়ে গেছে এবং এটি স্ট্রটস2-কোরে স্যুইচ করা প্রয়োজন।

№6

কিছু পরিস্থিতিতে, একটি সুস্পষ্ট নির্ভরতা চেক এবং নির্ভরতা ট্র্যাক ত্রুটির চিকিৎসা করা অন্যায্য। বিশেষ করে CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014-0225 এবং ট্র্যাকেন্সি চেক যা Dep3.0.5end স্প্রিং-কোর:3.0.5 বলতে আসলে স্প্রিং-ওয়েবকে উল্লেখ করা হয়:XNUMX। একই সময়ে, এই CVEগুলির মধ্যে কিছু Nexus IQ দ্বারা পাওয়া গেছে, তবে, IQ সঠিকভাবে অন্য উপাদানগুলির সাথে চিহ্নিত করেছে৷ এই দুর্বলতাগুলি স্প্রিং-কোর-এ পাওয়া যায় নি এই সত্য থেকে, এটি তর্ক করা যায় না যে তারা নীতিগতভাবে কাঠামোর মধ্যে নেই, এবং ওপেন সোর্স সরঞ্জামগুলি সঠিকভাবে এই দুর্বলতাগুলিকে নির্দেশ করেছে (তারা সামান্য মিস করেছে)।

তথ্যও

আমরা দেখতে পাচ্ছি, ম্যানুয়াল পর্যালোচনার মাধ্যমে চিহ্নিত দুর্বলতার নির্ভরযোগ্যতার সংকল্প দ্ব্যর্থহীন ফলাফল দেয় না, যা বিতর্কিত সমস্যা সৃষ্টি করে। ফলাফল হল Nexus IQ সমাধানের সর্বনিম্ন মিথ্যা ইতিবাচক হার এবং সর্বোচ্চ নির্ভুলতা রয়েছে৷

প্রথমত, এটি এই কারণে যে সোনাটাইপ টিম তাদের ডাটাবেসে NVD থেকে প্রতিটি CVE দুর্বলতার বিবরণ প্রসারিত করেছে, যা নির্দেশ করে, উপাদানটির একটি নির্দিষ্ট সংস্করণের জন্য দুর্বলতার শ্রেণী বা ফাংশন পর্যন্ত, অতিরিক্ত কাজ করে। গবেষণা (উদাহরণস্বরূপ, পুরানো সফ্টওয়্যার সংস্করণে দুর্বলতা পরীক্ষা করে)।

ফলাফলের উপর একটি গুরুত্বপূর্ণ প্রভাব সেই দুর্বলতাগুলির দ্বারাও পরিচালিত হয় যেগুলি NVD-তে অন্তর্ভুক্ত ছিল না, কিন্তু তবুও SONATYPE চিহ্নিত সোনাটাইপ ডাটাবেসে উপস্থিত রয়েছে৷ রিপোর্ট অনুযায়ী দ্য স্টেট অফ ওপেন সোর্স সিকিউরিটি ভালনারেবিলিটিস 2020 আবিষ্কৃত ওপেন সোর্স দুর্বলতার 45% NVD-এ রিপোর্ট করা হয় না। হোয়াইটসোর্স ডাটাবেস অনুসারে, NVD-এর বাইরে দাখিল করা সমস্ত ওপেন সোর্স দুর্বলতার মাত্র 29% সেখানে প্রকাশিত হয়, যে কারণে অন্যত্রও দুর্বলতাগুলি সন্ধান করা এত গুরুত্বপূর্ণ।

ফলস্বরূপ, নির্ভরতা চেক অনেক শব্দ তৈরি করে, কিছু দুর্বল উপাদান অনুপস্থিত। ডিপেন্ডেন্সি ট্র্যাক কম শব্দ তৈরি করে এবং প্রচুর সংখ্যক উপাদান সনাক্ত করে, যা ওয়েব ইন্টারফেসে চোখের দৃষ্টিতে আঘাত করে না।

তবুও, অনুশীলন দেখায় যে এটি ওপেন সোর্স যা একটি পরিপক্ক DevSecOps এর দিকে প্রথম পদক্ষেপ হওয়া উচিত। বিকাশে SCA এম্বেড করার জন্য প্রথম যে জিনিসটি চিন্তা করতে হবে তা হল প্রক্রিয়াগুলি, যথা, আপনার প্রতিষ্ঠানে আদর্শ প্রক্রিয়াগুলি কেমন হওয়া উচিত সে সম্পর্কে ব্যবস্থাপনা এবং সংশ্লিষ্ট বিভাগের সাথে চিন্তা করা। এটি চালু হতে পারে যে আপনার প্রতিষ্ঠানের জন্য, প্রথমে, নির্ভরতা চেক বা নির্ভরতা ট্র্যাক সমস্ত ব্যবসায়িক প্রয়োজনগুলিকে কভার করবে এবং এন্টারপ্রাইজ সমাধানগুলি একটি যৌক্তিক ধারাবাহিকতা হবে অ্যাপ্লিকেশনগুলির ক্রমবর্ধমান জটিলতার কারণে৷

পরিশিষ্ট A. উপাদানগুলির জন্য ফলাফল
লেজেন্ড:

• উপাদানে উচ্চ - উচ্চ এবং সমালোচনামূলক স্তরের দুর্বলতা
• মাঝারি — উপাদানে মাঝারি তীব্রতার দুর্বলতা
• সত্য - সত্য ইতিবাচক সমস্যা
• মিথ্যা - মিথ্যা ইতিবাচক সমস্যা

উপাদান
নেক্সাস আইকিউ
নির্ভরতা পরীক্ষা
নির্ভরতা ট্র্যাক
ফল

dom4j:1.6.1
উচ্চ
উচ্চ
উচ্চ
'সত্য'

log4j-core: 2.3
উচ্চ
উচ্চ
উচ্চ
'সত্য'

log4j: 1.2.14
উচ্চ
উচ্চ
-
'সত্য'

কমন্স-সংগ্রহ: 3.1
উচ্চ
উচ্চ
উচ্চ
'সত্য'

commons-fileupload:1.3.2
উচ্চ
উচ্চ
উচ্চ
'সত্য'

commons-beanutils:1.7.0
উচ্চ
উচ্চ
উচ্চ
'সত্য'

commons-codec:1:10
মধ্যম
-
-
'সত্য'

mysql-connector-java:5.1.42
উচ্চ
উচ্চ
উচ্চ
'সত্য'

বসন্ত-অভিব্যক্তি: 3.0.5
উচ্চ
উপাদান পাওয়া যায় নি

'সত্য'

spring-web:3.0.5
উচ্চ
উপাদান পাওয়া যায় নি
উচ্চ
'সত্য'

বসন্ত-প্রসঙ্গ: 3.0.5
মধ্যম
উপাদান পাওয়া যায় নি
-
'সত্য'

স্প্রিং-কোর: 3.0.5
মধ্যম
উচ্চ
উচ্চ
'সত্য'

struts2-config-browser-plugin:2.3.30
মধ্যম
-
-
'সত্য'

spring-tx:3.0.5
-
উচ্চ
-
মিথ্যা

struts-core:1.3.8
উচ্চ
উচ্চ
উচ্চ
'সত্য'

xwork-core: 2.3.30
উচ্চ
-
-
'সত্য'

struts2-core: 2.3.30
উচ্চ
উচ্চ
উচ্চ
'সত্য'

struts-taglib:1.3.8
-
উচ্চ
-
মিথ্যা

struts-টাইলস-1.3.8
-
উচ্চ
-
মিথ্যা

পরিশিষ্ট বি. দুর্বলতার ফলাফল
লেজেন্ড:

• উপাদানে উচ্চ - উচ্চ এবং সমালোচনামূলক স্তরের দুর্বলতা
• মাঝারি — উপাদানে মাঝারি তীব্রতার দুর্বলতা
• সত্য - সত্য ইতিবাচক সমস্যা
• মিথ্যা - মিথ্যা ইতিবাচক সমস্যা

উপাদান
নেক্সাস আইকিউ
নির্ভরতা পরীক্ষা
নির্ভরতা ট্র্যাক
নির্দয়তা
ফল
মন্তব্য

dom4j:1.6.1
জন্য CVE-2018-1000632
জন্য CVE-2018-1000632
জন্য CVE-2018-1000632
উচ্চ
'সত্য'

জন্য CVE-2020-10683
জন্য CVE-2020-10683
জন্য CVE-2020-10683
উচ্চ
'সত্য'

log4j-core: 2.3
জন্য CVE-2017-5645
জন্য CVE-2017-5645
জন্য CVE-2017-5645
উচ্চ
'সত্য'

জন্য CVE-2020-9488
জন্য CVE-2020-9488
জন্য CVE-2020-9488
কম
'সত্য'

log4j: 1.2.14
জন্য CVE-2019-17571
জন্য CVE-2019-17571
-
উচ্চ
'সত্য'

-
জন্য CVE-2020-9488
-
কম
'সত্য'

SONATYPE-2010-0053
-
-
উচ্চ
'সত্য'

কমন্স-সংগ্রহ: 3.1
-
জন্য CVE-2015-6420
জন্য CVE-2015-6420
উচ্চ
মিথ্যা
ডুপ্লিকেট RCE(OSSINDEX)

-
জন্য CVE-2017-15708
জন্য CVE-2017-15708
উচ্চ
মিথ্যা
ডুপ্লিকেট RCE(OSSINDEX)

SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
উচ্চ
'সত্য'

commons-fileupload:1.3.2
জন্য CVE-2016-1000031
জন্য CVE-2016-1000031
জন্য CVE-2016-1000031
উচ্চ
'সত্য'

SONATYPE-2014-0173
-
-
মধ্যম
'সত্য'

commons-beanutils:1.7.0
জন্য CVE-2014-0114
জন্য CVE-2014-0114
জন্য CVE-2014-0114
উচ্চ
'সত্য'

-
জন্য CVE-2019-10086
জন্য CVE-2019-10086
উচ্চ
মিথ্যা
দুর্বলতা শুধুমাত্র 1.9.2+ সংস্করণের জন্য প্রযোজ্য

commons-codec:1:10
SONATYPE-2012-0050
-
-
মধ্যম
'সত্য'

mysql-connector-java:5.1.42
জন্য CVE-2018-3258
জন্য CVE-2018-3258
জন্য CVE-2018-3258
উচ্চ
'সত্য'

জন্য CVE-2019-2692
জন্য CVE-2019-2692
-
মধ্যম
'সত্য'

-
জন্য CVE-2020-2875
-
মধ্যম
মিথ্যা
CVE-2019-2692-এর মতো একই দুর্বলতা, কিন্তু যোগ করে "আক্রমণগুলি অতিরিক্ত পণ্যগুলিকে উল্লেখযোগ্যভাবে প্রভাবিত করতে পারে"

-
জন্য CVE-2017-15945
-
উচ্চ
মিথ্যা
mysql-connector-java এ প্রযোজ্য নয়

-
জন্য CVE-2020-2933
-
কম
মিথ্যা
CVE-2020-2934-এর নকল

জন্য CVE-2020-2934
জন্য CVE-2020-2934
-
মধ্যম
'সত্য'

বসন্ত-অভিব্যক্তি: 3.0.5
জন্য CVE-2018-1270
উপাদান পাওয়া যায় নি
-
উচ্চ
'সত্য'

জন্য CVE-2018-1257
-
-
মধ্যম
'সত্য'

spring-web:3.0.5
জন্য CVE-2016-1000027
উপাদান পাওয়া যায় নি
-
উচ্চ
'সত্য'

জন্য CVE-2014-0225
-
জন্য CVE-2014-0225
উচ্চ
'সত্য'

জন্য CVE-2011-2730
-
-
উচ্চ
'সত্য'

-
-
জন্য CVE-2013-4152
মধ্যম
'সত্য'

জন্য CVE-2018-1272
-
-
উচ্চ
'সত্য'

জন্য CVE-2020-5398
-
-
উচ্চ
'সত্য'
আইকিউ-এর পক্ষে মামলা: "সোনাটাইপ সিকিউরিটি রিসার্চ টিম আবিষ্কার করেছে যে এই দুর্বলতাটি 3.0.2.RELEASE সংস্করণে প্রবর্তন করা হয়েছিল এবং 5.0.x নয়, যেমন পরামর্শে বলা হয়েছে।"

জন্য CVE-2013-6429
-
-
মধ্যম
'সত্য'

জন্য CVE-2014-0054
-
জন্য CVE-2014-0054
মধ্যম
'সত্য'

জন্য CVE-2013-6430
-
-
মধ্যম
'সত্য'

বসন্ত-প্রসঙ্গ: 3.0.5
জন্য CVE-2011-2894
উপাদান পাওয়া যায় নি
-
মধ্যম
'সত্য'

স্প্রিং-কোর: 3.0.5
-
জন্য CVE-2011-2730
জন্য CVE-2011-2730
উচ্চ
'সত্য'

জন্য CVE-2011-2894
জন্য CVE-2011-2894
জন্য CVE-2011-2894
মধ্যম
'সত্য'

-
-
জন্য CVE-2013-4152
মধ্যম
মিথ্যা
স্প্রিং-ওয়েবে একই দুর্বলতার ডুপ্লিকেট

-
জন্য CVE-2013-4152
-
মধ্যম
মিথ্যা
দুর্বলতা স্প্রিং-ওয়েব উপাদানের সাথে সম্পর্কিত

-
জন্য CVE-2013-6429
জন্য CVE-2013-6429
মধ্যম
মিথ্যা
দুর্বলতা স্প্রিং-ওয়েব উপাদানের সাথে সম্পর্কিত

-
জন্য CVE-2013-6430
-
মধ্যম
মিথ্যা
দুর্বলতা স্প্রিং-ওয়েব উপাদানের সাথে সম্পর্কিত

-
জন্য CVE-2013-7315
জন্য CVE-2013-7315
মধ্যম
মিথ্যা
CVE-2013-4152 থেকে বিভক্ত। + দুর্বলতা স্প্রিং-ওয়েব উপাদানের সাথে সম্পর্কিত

-
জন্য CVE-2014-0054
জন্য CVE-2014-0054
মধ্যম
মিথ্যা
দুর্বলতা স্প্রিং-ওয়েব উপাদানের সাথে সম্পর্কিত

-
জন্য CVE-2014-0225
-
উচ্চ
মিথ্যা
দুর্বলতা স্প্রিং-ওয়েব উপাদানের সাথে সম্পর্কিত

-
-
জন্য CVE-2014-0225
উচ্চ
মিথ্যা
স্প্রিং-ওয়েবে একই দুর্বলতার ডুপ্লিকেট

-
জন্য CVE-2014-1904
জন্য CVE-2014-1904
মধ্যম
মিথ্যা
দুর্বলতা স্প্রিং-ওয়েব-এমভিসি উপাদানের সাথে সম্পর্কিত

-
জন্য CVE-2014-3625
জন্য CVE-2014-3625
মধ্যম
মিথ্যা
দুর্বলতা স্প্রিং-ওয়েব-এমভিসি উপাদানের সাথে সম্পর্কিত

-
জন্য CVE-2016-9878
জন্য CVE-2016-9878
উচ্চ
মিথ্যা
দুর্বলতা স্প্রিং-ওয়েব-এমভিসি উপাদানের সাথে সম্পর্কিত

-
জন্য CVE-2018-1270
জন্য CVE-2018-1270
উচ্চ
মিথ্যা
বসন্ত-অভিব্যক্তি / বসন্ত-বার্তার জন্য

-
জন্য CVE-2018-1271
জন্য CVE-2018-1271
মধ্যম
মিথ্যা
দুর্বলতা স্প্রিং-ওয়েব-এমভিসি উপাদানের সাথে সম্পর্কিত

-
জন্য CVE-2018-1272
জন্য CVE-2018-1272
উচ্চ
'সত্য'

জন্য CVE-2014-3578
CVE-2014-3578(OSSINDEX)
জন্য CVE-2014-3578
মধ্যম
'সত্য'

SONATYPE-2015-0327
-
-
কম
'সত্য'

struts2-config-browser-plugin:2.3.30
SONATYPE-2016-0104
-
-
মধ্যম
'সত্য'

spring-tx:3.0.5
-
জন্য CVE-2011-2730
-
উচ্চ
মিথ্যা
দুর্বলতা স্প্রিং-টিএক্স-এ প্রযোজ্য নয়

-
জন্য CVE-2011-2894
-
উচ্চ
মিথ্যা
দুর্বলতা স্প্রিং-টিএক্স-এ প্রযোজ্য নয়

-
জন্য CVE-2013-4152
-
মধ্যম
মিথ্যা
দুর্বলতা স্প্রিং-টিএক্স-এ প্রযোজ্য নয়

-
জন্য CVE-2013-6429
-
মধ্যম
মিথ্যা
দুর্বলতা স্প্রিং-টিএক্স-এ প্রযোজ্য নয়

-
জন্য CVE-2013-6430
-
মধ্যম
মিথ্যা
দুর্বলতা স্প্রিং-টিএক্স-এ প্রযোজ্য নয়

-
জন্য CVE-2013-7315
-
মধ্যম
মিথ্যা
দুর্বলতা স্প্রিং-টিএক্স-এ প্রযোজ্য নয়

-
জন্য CVE-2014-0054
-
মধ্যম
মিথ্যা
দুর্বলতা স্প্রিং-টিএক্স-এ প্রযোজ্য নয়

-
জন্য CVE-2014-0225
-
উচ্চ
মিথ্যা
দুর্বলতা স্প্রিং-টিএক্স-এ প্রযোজ্য নয়

-
জন্য CVE-2014-1904
-
মধ্যম
মিথ্যা
দুর্বলতা স্প্রিং-টিএক্স-এ প্রযোজ্য নয়

-
জন্য CVE-2014-3625
-
মধ্যম
মিথ্যা
দুর্বলতা স্প্রিং-টিএক্স-এ প্রযোজ্য নয়

-
জন্য CVE-2016-9878
-
উচ্চ
মিথ্যা
দুর্বলতা স্প্রিং-টিএক্স-এ প্রযোজ্য নয়

-
জন্য CVE-2018-1270
-
উচ্চ
মিথ্যা
দুর্বলতা স্প্রিং-টিএক্স-এ প্রযোজ্য নয়

-
জন্য CVE-2018-1271
-
মধ্যম
মিথ্যা
দুর্বলতা স্প্রিং-টিএক্স-এ প্রযোজ্য নয়

-
জন্য CVE-2018-1272
-
মধ্যম
মিথ্যা
দুর্বলতা স্প্রিং-টিএক্স-এ প্রযোজ্য নয়

struts-core:1.3.8
-
CVE-2011-5057(OSSINDEX)

মধ্যম
FASLE
Struts 2 দুর্বলতা

-
CVE-2012-0391(OSSINDEX)
জন্য CVE-2012-0391
উচ্চ
মিথ্যা
Struts 2 দুর্বলতা

-
CVE-2014-0094(OSSINDEX)
জন্য CVE-2014-0094
মধ্যম
মিথ্যা
Struts 2 দুর্বলতা

-
CVE-2014-0113(OSSINDEX)
জন্য CVE-2014-0113
উচ্চ
মিথ্যা
Struts 2 দুর্বলতা

জন্য CVE-2016-1182
3VE-2016-1182
-
উচ্চ
'সত্য'

-
-
জন্য CVE-2011-5057
মধ্যম
মিথ্যা
Struts 2 দুর্বলতা

-
CVE-2012-0392(OSSINDEX)
জন্য CVE-2012-0392
উচ্চ
মিথ্যা
Struts 2 দুর্বলতা

-
CVE-2012-0393(OSSINDEX)
জন্য CVE-2012-0393
মধ্যম
মিথ্যা
Struts 2 দুর্বলতা

জন্য CVE-2015-0899
জন্য CVE-2015-0899
-
উচ্চ
'সত্য'

-
জন্য CVE-2012-0394
জন্য CVE-2012-0394
মধ্যম
মিথ্যা
Struts 2 দুর্বলতা

-
CVE-2012-0838(OSSINDEX)
জন্য CVE-2012-0838
উচ্চ
মিথ্যা
Struts 2 দুর্বলতা

-
CVE-2013-1965(OSSINDEX)
জন্য CVE-2013-1965
উচ্চ
মিথ্যা
Struts 2 দুর্বলতা

-
CVE-2013-1966(OSSINDEX)
জন্য CVE-2013-1966
উচ্চ
FASLE
Struts 2 দুর্বলতা

-
জন্য CVE-2013-2115
জন্য CVE-2013-2115
উচ্চ
FASLE
Struts 2 দুর্বলতা

-
CVE-2013-2134(OSSINDEX)
জন্য CVE-2013-2134
উচ্চ
FASLE
Struts 2 দুর্বলতা

-
CVE-2013-2135(OSSINDEX)
জন্য CVE-2013-2135
উচ্চ
FASLE
Struts 2 দুর্বলতা

জন্য CVE-2014-0114
জন্য CVE-2014-0114
-
উচ্চ
'সত্য'

-
জন্য CVE-2015-2992
জন্য CVE-2015-2992
মধ্যম
মিথ্যা
Struts 2 দুর্বলতা

-
CVE-2016-0785(OSSINDEX)
জন্য CVE-2016-0785
উচ্চ
মিথ্যা
Struts 2 দুর্বলতা

জন্য CVE-2016-1181
জন্য CVE-2016-1181
-
উচ্চ
'সত্য'

-
CVE-2016-4003(OSSINDEX)
জন্য CVE-2016-4003
উচ্চ
মিথ্যা
Struts 2 দুর্বলতা

xwork-core:2.3.30
জন্য CVE-2017-9804
-
-
উচ্চ
'সত্য'

SONATYPE-2017-0173
-
-
উচ্চ
'সত্য'

জন্য CVE-2017-7672
-
-
উচ্চ
মিথ্যা
CVE-2017-9804 থেকে দ্বিগুণ

SONATYPE-2016-0127
-
-
উচ্চ
'সত্য'

struts2-core:2.3.30
-
জন্য CVE-2016-6795
জন্য CVE-2016-6795
উচ্চ
'সত্য'

-
জন্য CVE-2017-9787
জন্য CVE-2017-9787
উচ্চ
'সত্য'

-
জন্য CVE-2017-9791
জন্য CVE-2017-9791
উচ্চ
'সত্য'

-
জন্য CVE-2017-9793
-
উচ্চ
মিথ্যা
CVE-2018-1327-এর নকল

-
জন্য CVE-2017-9804
-
উচ্চ
'সত্য'

-
জন্য CVE-2017-9805
জন্য CVE-2017-9805
উচ্চ
'সত্য'

জন্য CVE-2016-4003
-
-
মধ্যম
মিথ্যা
Apache Struts 2.x এ 2.3.28 পর্যন্ত প্রযোজ্য, যা 2.3.30 সংস্করণ। যাইহোক, বর্ণনার উপর ভিত্তি করে, CVE যতক্ষণ পর্যন্ত JRE 2 এবং নীচে ব্যবহার করা হয় ততক্ষণ পর্যন্ত Struts 1.7-এর সমস্ত সংস্করণে কাজ করে। দৃশ্যত তারা এখানে আমাদের পুনঃবীমা করার সিদ্ধান্ত নিয়েছে, কিন্তু এটি আরও মিথ্যা বলে মনে হচ্ছে

-
জন্য CVE-2018-1327
জন্য CVE-2018-1327
উচ্চ
'সত্য'

জন্য CVE-2017-5638
জন্য CVE-2017-5638
জন্য CVE-2017-5638
উচ্চ
'সত্য'
2017 সালে ইকুইফ্যাক্সে আক্রমণকারীরা একই দুর্বলতাকে কাজে লাগায়

জন্য CVE-2017-12611
জন্য CVE-2017-12611
-
উচ্চ
'সত্য'

জন্য CVE-2018-11776
জন্য CVE-2018-11776
জন্য CVE-2018-11776
উচ্চ
'সত্য'

struts-taglib:1.3.8
-
জন্য CVE-2012-0394
-
মধ্যম
মিথ্যা
struts2-কোর জন্য

-
জন্য CVE-2013-2115
-
উচ্চ
মিথ্যা
struts2-কোর জন্য

-
জন্য CVE-2014-0114
-
উচ্চ
মিথ্যা
কমন্স-বিনুটিলের জন্য

-
জন্য CVE-2015-0899
-
উচ্চ
মিথ্যা
তাগলিবের সাথে সম্পর্কিত নয়

-
জন্য CVE-2015-2992
-
মধ্যম
মিথ্যা
struts2-কোর সম্পর্কিত

-
জন্য CVE-2016-1181
-
উচ্চ
মিথ্যা
তাগলিবের সাথে সম্পর্কিত নয়

-
জন্য CVE-2016-1182
-
উচ্চ
মিথ্যা
তাগলিবের সাথে সম্পর্কিত নয়

struts-টাইলস-1.3.8
-
জন্য CVE-2012-0394
-
মধ্যম
মিথ্যা
struts2-কোর জন্য

-
জন্য CVE-2013-2115
-
উচ্চ
মিথ্যা
struts2-কোর জন্য

-
জন্য CVE-2014-0114
-
উচ্চ
মিথ্যা
কমন্স-বিনিউটিলের অধীনে

-
জন্য CVE-2015-0899
-
উচ্চ
মিথ্যা
টাইলস প্রযোজ্য নয়

-
জন্য CVE-2015-2992
-
মধ্যম
মিথ্যা
struts2-কোর জন্য

-
জন্য CVE-2016-1181
-
উচ্চ
মিথ্যা
তাগলিবের সাথে সম্পর্কিত নয়

-
জন্য CVE-2016-1182
-
উচ্চ
মিথ্যা
তাগলিবের সাথে সম্পর্কিত নয়

উত্স: www.habr.com