ব্যবহৃত লাইব্রেরির জন্য দুর্বলতা স্ক্যানার ব্যবহার করে নির্ভরতা- GitlabCI-এ চেক

দুর্বলতা ব্যবস্থাপনার একটি গুরুত্বপূর্ণ অংশ হল আধুনিক সিস্টেমগুলি তৈরি করে এমন সফ্টওয়্যার উপাদানগুলির সরবরাহ চেইনকে পুঙ্খানুপুঙ্খভাবে বোঝা এবং সুরক্ষিত করা। চতুর এবং DevOps দলগুলি বিকাশের সময় এবং খরচ কমাতে ওপেন সোর্স লাইব্রেরি এবং কাঠামোর ব্যাপক ব্যবহার করে। তবে এই পদকের একটি খারাপ দিকও রয়েছে: অন্য লোকেদের ভুল এবং দুর্বলতা উত্তরাধিকারসূত্রে পাওয়ার সুযোগ।

স্পষ্টতই, টিমকে নিশ্চিত হওয়া উচিত যে কোন ওপেন সোর্স উপাদানগুলি তার অ্যাপ্লিকেশনগুলিতে অন্তর্ভুক্ত করা হয়েছে, নিশ্চিত করা উচিত যে পরিচিত নির্ভরযোগ্য সংস্করণগুলি পরিচিত নির্ভরযোগ্য উত্স থেকে ডাউনলোড করা হয়েছে এবং নতুন আবিষ্কৃত দুর্বলতাগুলি প্যাচ করার পরে উপাদানগুলির আপডেট হওয়া সংস্করণগুলি ডাউনলোড করুন৷

এই পোস্টে, আমরা OWASP নির্ভরতা চেক ব্যবহার করে একটি বিল্ড বাতিল করতে দেখব যদি এটি আপনার কোডের সাথে গুরুতর সমস্যা সনাক্ত করে।

"ডেভেলপমেন্ট সিকিউরিটি ইন এজিল প্রজেক্টস" বইতে এটি নিম্নরূপ বর্ণনা করা হয়েছে। OWASP ডিপেন্ডেন্সি চেক হল একটি বিনামূল্যের স্ক্যানার যা একটি অ্যাপ্লিকেশনে ব্যবহৃত সমস্ত ওপেন সোর্স উপাদানকে ক্যাটালগ করে এবং এতে থাকা দুর্বলতা দেখায়। Java, .NET, Ruby (gemspec), PHP (কম্পোজার), Node.js এবং Python এর পাশাপাশি কিছু C/C++ প্রকল্পের জন্য সংস্করণ রয়েছে। ডিপেন্ডেন্সি চেক এন্ট, ম্যাভেন এবং গ্রেডল এবং জেনকিন্সের মতো ক্রমাগত ইন্টিগ্রেশন সার্ভার সহ সাধারণ বিল্ড সরঞ্জামগুলির সাথে একীভূত হয়।

নির্ভরতা চেক NIST-এর ন্যাশনাল ভালনারেবিলিটি ডেটাবেস (NVD) থেকে পরিচিত দুর্বলতা সহ সমস্ত উপাদানের রিপোর্ট করে এবং NVD নিউজ ফিড থেকে ডেটা সহ আপডেট করা হয়।

সৌভাগ্যবশত, OWASP ডিপেন্ডেন্সি চেক প্রজেক্ট বা বাণিজ্যিক প্রোগ্রামের মতো টুল ব্যবহার করে এই সবই স্বয়ংক্রিয়ভাবে করা যায় কালো হাঁস, জেফ্রগ এক্সরে, স্নিক, নেক্সাস লাইফসাইকেল সোনাটাইপ বা সোর্স ক্লিয়ার.

এই টুলগুলিকে বিল্ড পাইপলাইনে অন্তর্ভুক্ত করা যেতে পারে যাতে স্বয়ংক্রিয়ভাবে ওপেন সোর্স নির্ভরতাগুলি ইনভেন্টরি করা যায়, লাইব্রেরি এবং লাইব্রেরিগুলির পুরানো সংস্করণগুলি চিহ্নিত করা যায় যেখানে পরিচিত দুর্বলতা রয়েছে এবং গুরুতর সমস্যাগুলি সনাক্ত করা হলে বিল্ডগুলি বাতিল করা যেতে পারে।

OWASP নির্ভরতা পরীক্ষা

নির্ভরতা চেক কীভাবে কাজ করে তা পরীক্ষা করতে এবং প্রদর্শন করতে, আমরা এই সংগ্রহস্থলটি ব্যবহার করি নির্ভরতা-চেক-উদাহরণ.

এইচটিএমএল রিপোর্ট দেখতে, আপনাকে আপনার গিটল্যাব-রানারে nginx ওয়েব সার্ভারটি কনফিগার করতে হবে।

একটি ন্যূনতম nginx কনফিগারেশনের উদাহরণ:

server {
    listen       9999;
    listen       [::]:9999;
    server_name  _;
    root         /home/gitlab-runner/builds;

    location / {
        autoindex on;
    }

    error_page 404 /404.html;
        location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }
}

সমাবেশ শেষে আপনি এই ছবিটি দেখতে পারেন:

লিঙ্কটি অনুসরণ করুন এবং নির্ভরতা চেক রিপোর্ট দেখুন।

প্রথম স্ক্রিনশটটি একটি সারাংশ সহ প্রতিবেদনের উপরের অংশ।

দ্বিতীয় স্ক্রিনশটের বিবরণ CVE-2017-5638। এখানে আমরা CVE স্তর এবং শোষণের লিঙ্কগুলি দেখি।

তৃতীয় স্ক্রিনশট হল log4j-api-2.7.jar-এর বিবরণ। আমরা দেখতে পাই যে CVE মাত্রা 7.5 এবং 9.8।

চতুর্থ স্ক্রিনশটটি কমন্স-ফাইলআপলোড-১.৩.২.জারের বিবরণ। আমরা দেখতে পাই যে CVE মাত্রা 1.3.2 এবং 7.5।

আপনি যদি গিটল্যাব পৃষ্ঠাগুলি ব্যবহার করতে চান তবে এটি কাজ করবে না - একটি পতিত কাজ একটি শিল্পকর্ম তৈরি করবে না।

এখানে উদাহরণ https://gitlab.com/anton_patsev/dependency-check-example-gitlab-pages.

আউটপুট তৈরি করুন: কোন শিল্পকর্ম নেই, আমি এইচটিএমএল রিপোর্ট দেখতে পাচ্ছি না। আপনি আর্টিফ্যাক্ট চেষ্টা করা উচিত: সবসময়

https://gitlab.com/anton_patsev/dependency-check-example-gitlab-pages/-/jobs/400004246

CVE দুর্বলতার স্তর নিয়ন্ত্রণ করা

gitlab-ci.yaml ফাইলের সবচেয়ে গুরুত্বপূর্ণ লাইন:

mvn $MAVEN_CLI_OPTS test org.owasp:dependency-check-maven:check -DfailBuildOnCVSS=7

failBuildOnCVSS প্যারামিটারের সাহায্যে আপনি CVE দুর্বলতার স্তর সামঞ্জস্য করতে পারেন যার জন্য আপনাকে প্রতিক্রিয়া জানাতে হবে।

ইন্টারনেট থেকে NIST ভালনারেবিলিটি ডেটাবেস (NVD) ডাউনলোড করা হচ্ছে

আপনি কি লক্ষ্য করেছেন যে NIST ক্রমাগত ইন্টারনেট থেকে NIST ভালনারেবিলিটি ডেটাবেস (NVD) ডাউনলোড করে:

ডাউনলোড করতে, আপনি ইউটিলিটি ব্যবহার করতে পারেন nist_data_mirror_golang

এর ইনস্টল এবং চালু করা যাক.

yum -y install yum-plugin-copr
yum copr enable antonpatsev/nist_data_mirror_golang
yum -y install nist-data-mirror
systemctl start nist-data-mirror

Nist-data-mirror স্টার্টআপে NIST JSON CVE কে /var/www/repos/nist-data-mirror/ এ আপলোড করে এবং প্রতি 24 ঘন্টায় ডেটা আপডেট করে।

CVE JSON NIST ডাউনলোড করতে, আপনাকে nginx ওয়েব সার্ভার কনফিগার করতে হবে (উদাহরণস্বরূপ, আপনার গিটল্যাব-রানারে)।

একটি ন্যূনতম nginx কনফিগারেশনের উদাহরণ:

server {
    listen       12345;
    listen       [::]:12345;
    server_name  _;
    root         /var/www/repos/nist-data-mirror/;

    location / {
        autoindex on;
    }

    error_page 404 /404.html;
        location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }

}

যেখানে mvn চালু করা হয়েছে সেখানে একটি দীর্ঘ লাইন তৈরি না করার জন্য, আমরা প্যারামিটারগুলিকে একটি পৃথক পরিবর্তনশীল DEPENDENCY_OPTS-এ স্থানান্তর করব।

চূড়ান্ত ন্যূনতম কনফিগারেশন .gitlab-ci.yml এর মত দেখাবে:

variables:
  MAVEN_OPTS: "-Dhttps.protocols=TLSv1.2 -Dmaven.repo.local=$CI_PROJECT_DIR/.m2/repository -Dorg.slf4j.simpleLogger.log.org.apache.maven.cli.transfer.Slf4jMavenTransferListener=WARN -Dorg.slf4j.simpleLogger.showDateTime=true -Djava.awt.headless=true"
  MAVEN_CLI_OPTS: "--batch-mode --errors --fail-at-end --show-version -DinstallAtEnd=true -DdeployAtEnd=true"
  DEPENDENCY_OPTS: "-DfailBuildOnCVSS=7 -DcveUrlModified=http://localhost:12345/nvdcve-1.1-modified.json.gz -DcveUrlBase=http://localhost:12345/nvdcve-1.1-%d.json.gz"

cache:
  paths:
    - .m2/repository

verify:
  stage: test
  script:
    - set +e
    - mvn $MAVEN_CLI_OPTS install org.owasp:dependency-check-maven:check $DEPENDENCY_OPTS || EXIT_CODE=$?
    - export PATH_WITHOUT_HOME=$(pwd | sed -e "s//home/gitlab-runner/builds//g")
    - echo "************************* URL Dependency-check-report.html *************************"
    - echo "http://$HOSTNAME:9999$PATH_WITHOUT_HOME/target/dependency-check-report.html"
    - set -e
    - exit ${EXIT_CODE}
  tags:
    - shell

DevOps এবং নিরাপত্তা সম্পর্কে টেলিগ্রাম চ্যাট
টেলিগ্রাম চ্যানেল DevSecOps / SSDLC - নিরাপদ উন্নয়ন

উত্স: www.habr.com