DevSecOps: SCA の動作原理と比較。 パート XNUMX

開発プロセスにおけるサードパーティ ソフトウェア コンポーネントの分析 (ソフトウェア構成分析 - SCA) の重要性は、Synopsys、Sonatype、Snyk、White Source によって発行されるオープン ソース ライブラリの脆弱性に関する年次レポートのリリースによりますます高まっています。 。 報告書によると 2020 年のオープンソースのセキュリティ脆弱性の現状 2019 年に特定されたオープンソースの脆弱性の数は前年と比べてほぼ 1.5 倍に増加し、オープンソース コンポーネントはプロジェクトの 60% ～ 80% で使用されています。 独立したベースで、SCA プロセスは、成熟度の指標としての OWASP SAMM および BSIMM とは別個のプラクティスであり、2020 年前半に、OWASP は新しい OWASP ソフトウェア コンポーネント検証標準 (SCVS) をリリースし、XNUMX 番目のコンポーネントを検証するためのベスト プラクティスを提供しました。サプライチェーン内のパーティコンポーネント BY。

最も具体的なケースの XNUMX つ 起こった 2017 年 143 月に Equifax と提携。 正体不明の攻撃者は、フルネーム、住所、社会保障番号、運転免許証など、209億000万人のアメリカ人に関する情報を入手しました。 2万2017件の文書には、被害者の銀行カードに関する情報も含まれていた。 このリークは、Apache Struts 5638 (CVE-2017-XNUMX) の重大な脆弱性が悪用された結果として発生しましたが、修正は XNUMX 年 XNUMX 月にリリースされました。 同社はアップデートをインストールするのに XNUMX か月かかりましたが、誰もそれを気にしませんでした。

この記事では、分析結果の品質の観点から SCA を実行するためのツールを選択する問題について説明します。 ツールの機能比較も提供されます。 CI/CD への統合プロセスと統合機能については、今後の出版物に残されます。 OWASP によって幅広いツールが提供されました あなたのウェブサイトで, しかし、今回のレビューでは、最も人気のあるオープンソース ツールのDependency Check、少し知名度の低いオープンソース プラットフォームのDependency Track、およびエンタープライズ ソリューションのSonatype Nexus IQについてのみ触れます。 また、これらのソリューションがどのように機能するかを理解し、誤検知に関して得られた結果を比較します。

どのように動作します

依存関係のチェック プロジェクト ファイルを分析し、依存関係に関する情報 (パッケージ名、グループ ID、仕様タイトル、バージョンなど) を収集し、CPE (Common Platform Enumeration) 行を構築するユーティリティ (CLI、Maven、jenkins モジュール、ant) です。 、URL (PURL) をパッケージ化し、データベース (NVD、Sonatype OSS Index、NPM Audit API...) から CPE/PURL の脆弱性を特定した後、HTML、JSON、XML 形式でワンタイム レポートを構築します。

CPE がどのようなものかを見てみましょう。

cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other

• 部： コンポーネントがアプリケーション (a)、オペレーティング システム (o)、ハードウェア (h) に関連していることを示します (必須)
• ベンダー： 製品メーカー名 (必須)
• 製品： 商品名 (必須)
• バージョン： コンポーネントのバージョン (廃止された項目)
• アップデート： パッケージのアップデート
• エディション： レガシーバージョン (非推奨アイテム)
• 言語： RFC-5646で定義された言語
• SW版: ソフトウェアバージョン
• 対象SW: 製品が動作するソフトウェア環境
• ターゲットハードウェア: 製品が動作するハードウェア環境
• その他： サプライヤーまたは製品情報

CPE の例は次のようになります。

cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*

この行は、CPE バージョン 2.3 が製造元のアプリケーション コンポーネントを記述していることを意味します。 pivotal_software タイトル付きで spring_framework バージョン3.0.0。 脆弱性を開いた場合 CVE-2014-0225 NVD では、この CPE についての言及が見られます。 CPE によれば、すぐに注意すべき最初の問題は、NVD の CVE が特定のコンポーネントではなくフレームワークの問題を報告するということです。 つまり、開発者がフレームワークにしっかりと結びついており、特定された脆弱性が開発者が使用するモジュールに影響を及ぼさない場合、セキュリティ専門家は何らかの方法でこの CVE を分解し、更新を検討する必要があります。

この URL は SCA ツールでも使用されます。 パッケージの URL 形式は次のとおりです。

scheme:type/namespace/name@version?qualifiers#subpath

• スキーム： これがパッケージ URL であることを示す「pkg」が常に表示されます (必須)
• タイプ： パッケージの「タイプ」またはパッケージの「プロトコル」 (Maven、npm、nuget、gem、pypi など)。 (必須項目)
• 名前空間： Maven グループ ID、Docker イメージ所有者、GitHub ユーザー、組織などの名前のプレフィックス。 オプションであり、タイプによって異なります。
• お名前： パッケージ名 (必須)
• バージョン： パッケージバージョン
• 修飾子： OS、アーキテクチャ、ディストリビューションなど、パッケージの追加の認定データ。オプションでタイプ固有です。
• サブパス: パッケージルートを基準としたパッケージ内の追加パス

たとえば、次のように

pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]

依存関係の追跡 — 生成された既製の部品表 (BOM) を受け入れるオンプレミス Web プラットフォーム サイクロンDX и SPDXつまり、既存の依存関係に関する既製の仕様です。 これは、名前、ハッシュ、パッケージ URL、発行者、ライセンスなどの依存関係を記述する XML ファイルです。 次に、Dependency Track は BOM を解析し、脆弱性データベース (NVD、Sonatype OSS Index...) から特定された依存関係に利用可能な CVE を確認します。その後、グラフを作成し、メトリクスを計算し、コンポーネントの脆弱性ステータスに関するデータを定期的に更新します。 。

XML 形式での BOM の例:

<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
  <components>
    <component type="library">
      <publisher>Apache</publisher>
      <group>org.apache.tomcat</group>
      <name>tomcat-catalina</name>
      <version>9.0.14</version>
      <hashes>
        <hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
        <hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
        <hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
        <hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
      </hashes>
      <licenses>
        <license>
          <id>Apache-2.0</id>
        </license>
      </licenses>
      <purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
    </component>
      <!-- More components here -->
  </components>
</bom>

BOM は、依存関係追跡の入力パラメータとしてだけでなく、顧客にソフトウェアを提供する場合など、サプライ チェーン内のソフトウェア コンポーネントの在庫管理にも使用できます。 2014年には米国でも法案が提案された 「2014年サイバーサプライチェーン管理および透明性法」、ソフトウェアを購入するときに、どのような状態でもよいと記載されています。 機関は脆弱なコンポーネントの使用を防ぐために BOM を要求する必要がありますが、この法律はまだ発効していません。

SCA に戻ると、Dependency Track には、Slack などの通知プラットフォームや Kenna Security などの脆弱性管理システムとの統合があらかじめ用意されています。 また、Dependency Track は、とりわけ、古いバージョンのパッケージを特定し、(SPDX サポートにより) ライセンスに関する情報を提供することも重要です。

SCA の品質について具体的に言うと、根本的な違いがあります。

依存関係トラックはプロジェクトを入力として受け入れず、BOM を受け入れます。 これは、プロジェクトをテストしたい場合は、まず CycloneDX を使用して bom.xml を生成する必要があることを意味します。 したがって、Dependency Track は CycloneDX に直接依存しています。 同時にカスタマイズも可能になります。 これはOZONチームが書いたものです CycloneDXモジュール Golang プロジェクトの BOM ファイルを組み立てて、依存関係トラックをさらにスキャンするために使用します。

ネクサス IQ Sonatype の商用 SCA ソリューションであり、Sonatype エコシステムの一部であり、Nexus Repository Manager も含まれています。 Nexus IQ は、組織がまだ CycloneDX から新しいソリューションに切り替えていない場合、Web インターフェイスまたは API を介した war アーカイブ (Java プロジェクト用) と BOM の両方を入力として受け入れることができます。 オープンソース ソリューションとは異なり、IQ は、特定されたコンポーネントとデータベース内の対応する脆弱性を CP/PURL で参照するだけでなく、脆弱な機能やクラスの名前など、独自の調査も考慮します。 IQ のメカニズムについては、後の結果の分析で説明します。

いくつかの機能的特徴を要約し、分析用にサポートされている言語についても検討してみましょう。

言語
ネクサス IQ
依存関係のチェック
依存関係の追跡

Java
+
+
+

C / C ++
+
+
-

C#
+
+
-

純
+
+
+

アーラン
-
-
+

JavaScript (NodeJS)
+
+
+

PHP
+
+
+

Python
+
+
+

ルビー
+
+
+

パール
-
-
-

スカラ
+
+
+

目標C
+
+
-

スウィフト
+
+
-

R
+
-
-

Go
+
+
+

機能性

機能性
ネクサス IQ
依存関係のチェック
依存関係の追跡

ソースコードで使用されているコンポーネントがライセンスされた純度であるかどうかを確認する機能
+
-
+

Docker イメージの脆弱性とライセンスのクリーン度をスキャンして分析する機能
+ Clairとの統合
-
-

オープンソース ライブラリを使用するようにセキュリティ ポリシーを構成する機能
+
-
-

オープンソース リポジトリをスキャンして脆弱なコンポーネントを見つける機能
+ RubyGems、Maven、NPM、Nuget、Pypi、Conan、Bower、Conda、Go、p2、R、Yum、Helm、Docker、CocoaPods、Git LFS
-
+ Hex、RubyGems、Maven、NPM、Nuget、Pypi

専門的な研究グループの利用可能性
+
-
-

閉ループ動作
+
+
+

サードパーティデータベースの使用
+ クローズド Sonatype データベース
+ Sonatype OSS、NPM Public Advisors
+ Sonatype OSS、NPM Public Advisors、RetireJS、VulnDB、独自の脆弱性データベースのサポート

設定されたポリシーに従って開発ループにロードしようとするときにオープンソースコンポーネントをフィルタリングする機能
+
-
-

脆弱性を修正するための推奨事項、修正へのリンクの可用性
+
+- (公開データベースの記述に依存)
+- (公開データベースの記述に依存)

検出された脆弱性の重大度によるランキング
+
+
+

ロールベースのアクセスモデル
+
-
+

CLIのサポート
+
+
+-(CycloneDXのみ)

定義された基準に従った脆弱性のサンプリング/分類
+
-
+

アプリケーションステータスごとのダッシュボード
+
-
+

PDF 形式でのレポートの生成
+
-
-

JSONCSV形式でのレポートの生成
+
+
-

ロシア語のサポート
-
-
-

統合機能

Интеграция
ネクサス IQ
依存関係のチェック
依存関係の追跡

LDAP/Active Directoryの統合
+
-
+

継続的インテグレーション システム Bamboo との統合
+
-
-

継続的統合システム TeamCity との統合
+
-
-

継続的インテグレーション システム GitLab との統合
+
+- (GitLab のプラグインとして)
+

継続的統合システム Jenkins との統合
+
+
+

IDE 用のプラグインの可用性
+ IntelliJ、Eclipse、Visual Studio
-
-

ツールの Web サービス (API) を介したカスタム統合のサポート
+
-
+

依存関係のチェック

最初のスタート

意図的に脆弱なアプリケーションで依存関係チェックを実行してみましょう DVJA.

このために使用します 依存関係チェック Maven プラグイン:

mvn org.owasp:dependency-check-maven:check

その結果、dependency-check-report.html がターゲット ディレクトリに表示されます。

ファイルを開いてみましょう。 脆弱性の総数に関する概要情報の後に、パッケージ、CPE、および CVE の数を示す、重大度および信頼性の高いレベルの脆弱性に関する情報が表示されます。

次に、より詳細な情報、特に決定が行われた根拠 (証拠)、つまり特定の BOM が続きます。

次に、CPE、PURL、および CVE の説明が続きます。 ちなみに、修正の推奨事項はNVDデータベースに存在しないため含まれていません。

スキャン結果を体系的に表示するには、最小限の設定で Nginx を構成するか、依存関係チェックへのコネクタをサポートする欠陥管理システムに結果の欠陥を送信します。 たとえば、欠陥道場。

依存関係の追跡

インストール

また、Dependency Track はグラフを表示する Web ベースのプラットフォームであるため、サードパーティのソリューションに欠陥を保存するという差し迫った問題はここでは発生しません。
インストール用にサポートされているスクリプトは、Docker、WAR、実行可能 WAR です。

最初のスタート

実行中のサービスの URL に移動します。 admin/admin 経由でログインし、ログイン名とパスワードを変更して、ダッシュボードにアクセスします。 次に行うことは、Java でテスト アプリケーションのプロジェクトを作成することです。 ホーム/プロジェクト → プロジェクトの作成 。 DVJA を例に挙げてみましょう。

依存関係トラックは入力として BOM のみを受け入れることができるため、この BOM を取得する必要があります。 活用しましょう CycloneDX Maven プラグイン:

mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom

bom.xml を取得し、作成したプロジェクトにファイルをロードします DVJA → 依存関係 → BOM のアップロード.

「管理」→「アナライザー」に移動しましょう。 NVD を含む内部アナライザーのみが有効になっていることを理解しています。 Sonatype OSS Index も接続してみましょう。

したがって、プロジェクトの次の図が得られます。

また、リストには Sonatype OSS に該当する脆弱性が XNUMX つあります。

主に残念だったのは、Dependency Track が依存関係チェック XML レポートを受け付けなくなったことです。 依存関係チェック統合のサポートされている最新バージョンは 1.0.0 ～ 4.0.2 でしたが、私がテストしたのは 5.3.2 でした。

ここで ビデオ （そして ここで）まだ可能だった頃。

ネクサス IQ

最初のスタート

Nexus IQ のインストールは、次のアーカイブから行われます。 ドキュメンテーション, しかし、これらの目的のために Docker イメージを構築しました。

コンソールにログインした後、組織とアプリケーションを作成する必要があります。

ご覧のとおり、IQ の場合のセットアップはやや複雑です。これは、さまざまな「ステージ」 (開発、ビルド、ステージ、リリース) に適用できるポリシーも作成する必要があるためです。 これは、脆弱なコンポーネントが実稼働に近づくパイプラインを通過するときにブロックするため、または開発者がダウンロードして Nexus リポジトリに入ると同時にブロックするために必要です。

オープンソースとエンタープライズの違いを感じるために、Nexus IQ で同じスキャンを同じ方法で実行してみましょう。 Mavenプラグイン、以前に NexusIQ インターフェイスでテスト アプリケーションを作成したことがある dvja-test-and-compare:

mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>

IQ Web インターフェイスで生成されたレポートへの URL をたどります。

ここでは、さまざまな重要度レベル (情報からセキュリティ クリティカルまで) を示すすべてのポリシー違反を確認できます。 コンポーネントの隣の文字 D は、コンポーネントが直接依存関係であることを意味し、コンポーネントの隣の文字 T は、コンポーネントが推移的依存関係、つまり推移的であることを意味します。

ちなみにレポートは オープンソース セキュリティの現状レポート 2020 from Snyk は、Node.js、Java、Ruby で発見されたオープンソースの脆弱性の 70% 以上が推移的な依存関係にあると報告しています。

Nexus IQ ポリシー違反の XNUMX つを開くと、コンポーネントの説明と、時間グラフ内の現在のバージョンの位置、および脆弱性が停止する時点を示すバージョン グラフが表示されます。脆弱になる。 グラフ上のローソク足の高さは、このコンポーネントの使用の人気を示します。

脆弱性セクションに移動して CVE を展開すると、この脆弱性の説明、削除の推奨事項、およびこのコンポーネントが違反された理由、つまりクラスの存在を読むことができます。 DiskFileitem.class.

js コンポーネントを削除して、サードパーティ Java コンポーネントに関連するものだけをまとめてみましょう。 括弧内は、NVD の外部で見つかった脆弱性の数を示しています。

合計ネクサス IQ:

• スキャンされた依存関係: 62
• 脆弱な依存関係: 16
• 見つかった脆弱性: 42 (8 sonatype db)

総依存性チェック:

• スキャンされた依存関係: 47
• 脆弱な依存関係: 13
• 見つかった脆弱性: 91 (14 sonatype oss)

合計依存関係トラック:

• スキャンされた依存関係: 59
• 脆弱な依存関係: 10
• 見つかった脆弱性: 51 (1 sonatype oss)

次のステップでは、得られた結果を分析し、これらの脆弱性のどれが実際の欠陥でどれが誤検知であるかを特定します。

免責事項

このレビューは議論の余地のない真実ではありません。 著者には、他の楽器を背景にして別の楽器を強調するという目標はありませんでした。 レビューのポイントは、SCA ツールの動作メカニズムとその結果を確認する方法を示すことでした。

結果の比較

利用規約：

サードパーティコンポーネントの脆弱性の誤検知は次のとおりです。

• 特定されたコンポーネントに対する CVE の不一致
• たとえば、struts2 フレームワークで脆弱性が特定され、ツールがこの脆弱性が適用されない struts-tiles フレームワークのコンポーネントを指している場合、これは誤検知です。
• CVE がコンポーネントの識別されたバージョンと一致しません
• たとえば、この脆弱性は Python バージョン 3.5 以降に関連付けられており、ツールはバージョン 2.7 を脆弱としてマークします。実際には、この脆弱性は 3.x 製品ブランチにのみ適用されるため、これは誤検知です。
• 重複した CVE
• たとえば、SCA が RCE を有効にする CVE を指定する場合、SCA は、その RCE の影響を受けるシスコ製品に適用される同じコンポーネントの CVE を指定します。 この場合、偽陽性となります。
• たとえば、CVE が spring-web コンポーネントで見つかった後、SCA は Spring Framework の他のコンポーネントの同じ CVE を指しますが、CVE は他のコンポーネントとは何の関係もありません。 この場合、偽陽性となります。

研究の対象となったのは、オープンソース プロジェクト DVJA です。 この調査には Java コンポーネントのみ (js は含まれません) が含まれていました。

集計結果

特定された脆弱性を手動でレビューした結果に直接行きましょう。 各 CVE の完全なレポートは付録にあります。

すべての脆弱性の結果の要約:

パラメーター
ネクサス IQ
依存関係のチェック
依存関係の追跡

特定された脆弱性の総数
42
91
51

誤って識別された脆弱性 (誤検知)
2（4.76％）
62（68,13％）
29（56.86％）

関連する脆弱性は見つかりませんでした (偽陰性)
10
20
27

コンポーネントごとの要約結果:

パラメーター
ネクサス IQ
依存関係のチェック
依存関係の追跡

特定された合計コンポーネント
62
47
59

脆弱なコンポーネントの合計
16
13
10

脆弱なコンポーネントが誤って識別された (誤検知)
1
5
0

脆弱なコンポーネントが誤って識別された (誤検知)
0
6
6

視覚的なグラフを作成して、脆弱性の総数に対する偽陽性と偽陰性の比率を評価してみましょう。 コンポーネントは水平方向にマークされ、コンポーネント内で特定された脆弱性は垂直方向にマークされます。

比較のために、Sonatype チームによって同様の調査が実施され、OWASP 依存関係チェックを使用して 1531 コンポーネントのプロジェクトがテストされました。 ご覧のとおり、正しい応答に対するノイズの比率は、結果と同等です。

出所： www.sonatype.com/why-precision-matters-ebook

このような結果の理由を理解するために、スキャン結果からいくつかの CVE を見てみましょう。

もっと

№1

まずは Sonatype Nexus IQ に関する興味深い点をいくつか見てみましょう。

Nexus IQ は、Spring Framework で RCE を複数回実行する機能によるデシリアライゼーションの問題を指摘しています。 spring-web:2016 の初回では CVE-1000027-3.0.5、spring-context:2011 および spring-core:2894 では CVE-3.0.5-3.0.5。 最初は、複数の CVE にわたって脆弱性が重複しているように見えます。 NVD データベースの CVE-2016-1000027 と CVE-2011-2894 を見ると、すべてが明らかであるように見えるためです。

コンポーネント
脆弱性

スプリングウェブ:3.0.5
CVE-2016-1000027

スプリングコンテキスト:3.0.5
CVE-2011-2894

スプリングコア:3.0.5
CVE-2011-2894

説明 CVE-2011-2894 NVD から:


説明 CVE-2016-1000027 NVD から:


CVE-2011-2894自体はかなり有名です。 報告書の中で ホワイトソース 2011 この CVE は最も一般的な CVE の 2016 つとして認識されています。 CVE-100027-4.1.4 については、NVD では原則として記述が少なく、Spring Framework XNUMX のみに適用されるようです。 見てみましょう 参照 そしてここですべてが多かれ少なかれ明らかになります。 から 有効な記事 私たちは、次のような脆弱性に加えて、 RemoteInvocationSerializingExporter CVE-2011-2894 では、脆弱性が確認されています。 HttpInvokerServiceExporter。 Nexus IQ からは次のことがわかります。

ただし、NVD にはこのようなことは何もないため、依存関係チェックと依存関係トラックはそれぞれ偽陰性を受け取ります。

また、CVE-2011-2894 の説明から、この脆弱性が spring-context:3.0.5 と spring-core:3.0.5 の両方に実際に存在することがわかります。 これについては、この脆弱性を発見した人の記事で確認できます。

№2

コンポーネント
脆弱性
結果

struts2-core:2.3.30
CVE-2016-4003
間違った情報

脆弱性 CVE-2016-4003 を調査すると、この脆弱性はバージョン 2.3.28 で修正されたことがわかりますが、Nexus IQ がそれを報告しています。 脆弱性の説明には次のような注記があります。

つまり、この脆弱性は古いバージョンの JRE に関連してのみ存在し、それについて警告することを決定しました。 それでも、最悪ではありませんが、これは誤検知であると考えられます。

№3

コンポーネント
脆弱性
結果

xwork-core:2.3.30
CVE-2017-9804
TRUE

xwork-core:2.3.30
CVE-2017-7672
間違った情報

CVE-2017-9804 と CVE-2017-7672 の説明を見ると、問題は次のとおりであることがわかります。 URLValidator class、CVE-2017-9804 から派生した CVE-2017-7672 です。 XNUMX 番目の脆弱性の存在は、重大度が高に増加したという事実以外に有益な負荷をもたらすものではないため、不要なノイズと考えることができます。

全体として、Nexus IQ では他の誤検知は見つかりませんでした。

№4

IQ が他のソリューションと比べて優れている点がいくつかあります。

コンポーネント
脆弱性
結果

スプリングウェブ:3.0.5
CVE-2020-5398
TRUE

NVD の CVE では、Nexus IQ の CVE の説明を見ると、バージョン 5.2 より前のバージョン 5.2.3.x、5.1 より前の 5.1.13.x、および 5.0 より前のバージョン 5.0.16.x にのみ適用されると記載されています。 , すると、次のようになります。
アドバイザリからの逸脱に関する通知: Sonatype セキュリティ研究チームは、この脆弱性がアドバイザリに記載されている 3.0.2.x ではなく、バージョン 5.0.RELEASE で導入されたことを発見しました。

これに続いて、この脆弱性の PoC が公開され、この脆弱性はバージョン 3.0.5 に存在すると述べられています。

偽陰性は依存関係チェックと依存関係追跡に送信されます。

№5

依存関係チェックと依存関係トラックの誤検知を見てみましょう。

依存関係チェックは、NVD のフレームワーク全体に適用される CVE を、それらの CVE が適用されないコンポーネントに反映するという点で際立っています。 これは、依存関係チェックが「失敗した」CVE-2012-0394、CVE-2013-2115、CVE-2014-0114、CVE-2015-0899、CVE-2015-2992、CVE-2016-1181、CVE-2016-1182 に関係します。 ” を struts-taglib:1.3.8 および struts-tiles-1.3.8 に追加します。 これらのコンポーネントは、CVE で説明されている内容 (リクエスト処理、ページ検証など) とは何の関係もありません。 これは、これらの CVE とコンポーネントに共通しているのはフレームワークのみであるという事実によるものであり、依存関係チェックではこれを脆弱性と見なしました。

spring-tx:3.0.5 でも同じ状況が発生し、struts-core:1.3.8 でも同様の状況が発生します。 struts-core の場合、依存関係チェックと依存関係追跡により、本質的には別のフレームワークである struts2-core に実際に該当する脆弱性が多数発見されました。 この場合、Nexus IQ は状況を正しく理解し、発行した CVE で、struts-core が寿命に達し、struts2-core に移行する必要があることを示しました。

№6

状況によっては、明らかな依存関係チェックおよび依存関係追跡エラーを解釈するのは不公平です。 特に CVE-2013-4152、CVE-2013-6429、CVE-2013-6430、CVE-2013-7315、CVE-2014-0054、CVE-2014-0225、CVE-2014-0225、依存関係チェックと依存関係追跡spring-core:3.0.5 に属しますが、実際には spring-web:3.0.5 に属します。 同時に、これらの CVE の一部は Nexus IQ によっても検出されましたが、IQ はそれらを別のコンポーネントとして正しく識別しました。 これらの脆弱性は spring-core では発見されなかったため、原理的にはフレームワークに含まれていないとは言えず、オープンソース ツールはこれらの脆弱性を正しく指摘しました (ほんの少し見逃しただけです)。

所見

ご覧のとおり、特定された脆弱性の信頼性を手動レビューで判断しても明確な結果が得られないため、物議を醸す問題が発生します。 その結果、Nexus IQ ソリューションは誤検知率が最も低く、精度が最も高いことがわかりました。

まず第一に、これは Sonatype チームがデータベース内の NVD の各 CVE 脆弱性の説明を拡張し、コンポーネントの特定のバージョンの脆弱性をクラスまたは機能にまで示し、追加の調査を実施したという事実によるものです (たとえば、 、古いソフトウェア バージョンの脆弱性をチェックします）。

NVD には含まれていないものの、SONATYPE マークが付いた Sonatype データベースに存在する脆弱性も、結果に重要な影響を及ぼします。 報告書によると 2020 年のオープンソースのセキュリティ脆弱性の現状 発見されたオープンソースの脆弱性の 45% は NVD に報告されていません。 WhiteSource データベースによると、NVD 以外で報告されたすべてのオープンソースの脆弱性のうち、最終的に NVD で公開されるのは 29% だけです。そのため、他のソースでも脆弱性を探すことが重要です。

その結果、依存関係チェックは大量のノイズを生成し、いくつかの脆弱なコンポーネントが欠落します。 dependency track は生成するノイズが少なく、多数のコンポーネントを検出するため、Web インターフェイスで視覚的に目を痛めることはありません。

しかし、実際には、オープンソースが成熟した DevSecOps への第一歩となることが示されています。 SCA を開発に組み込むときに最初に考えるべきことはプロセスです。つまり、組織における理想的なプロセスがどのようなものであるかを経営層や関連部門とともに考えることです。 組織にとって、最初は依存関係チェックまたは依存関係追跡がすべてのビジネス ニーズをカバーし、開発中のアプリケーションの複雑さが増すため、エンタープライズ ソリューションが論理的な継続となることが判明する場合があります。

付録 A: コンポーネントの結果
シンボル：

• 高 - コンポーネント内の高レベルおよび重大レベルの脆弱性
• 中 - コンポーネント内の重大度レベルが中程度の脆弱性
• TRUE — 真陽性の問題
• FALSE — 誤検知の問題

コンポーネント
ネクサス IQ
依存関係のチェック
依存関係の追跡
結果

dom4j: 1.6.1
ハイ
ハイ
ハイ
TRUE

log4jコア: 2.3
ハイ
ハイ
ハイ
TRUE

log4j: 1.2.14
ハイ
ハイ
-
TRUE

コモンズコレクション:3.1
ハイ
ハイ
ハイ
TRUE

コモンズファイルアップロード:1.3.2
ハイ
ハイ
ハイ
TRUE

commons-beanutils:1.7.0
ハイ
ハイ
ハイ
TRUE

コモンズコーデック:1:10
M
-
-
TRUE

mysql-connector-java:5.1.42
ハイ
ハイ
ハイ
TRUE

スプリング式:3.0.5
ハイ
コンポーネントが見つかりません

TRUE

スプリングウェブ:3.0.5
ハイ
コンポーネントが見つかりません
ハイ
TRUE

スプリングコンテキスト:3.0.5
M
コンポーネントが見つかりません
-
TRUE

スプリングコア:3.0.5
M
ハイ
ハイ
TRUE

struts2-config-browser-plugin:2.3.30
M
-
-
TRUE

スプリングTX:3.0.5
-
ハイ
-
間違った情報

ストラットコア:1.3.8
ハイ
ハイ
ハイ
TRUE

xworkコア: 2.3.30
ハイ
-
-
TRUE

struts2-core: 2.3.30
ハイ
ハイ
ハイ
TRUE

struts-taglib:1.3.8
-
ハイ
-
間違った情報

ストラットタイル-1.3.8
-
ハイ
-
間違った情報

付録 B: 脆弱性の結果
シンボル：

• 高 - コンポーネント内の高レベルおよび重大レベルの脆弱性
• 中 - コンポーネント内の重大度レベルが中程度の脆弱性
• TRUE — 真陽性の問題
• FALSE — 誤検知の問題

コンポーネント
ネクサス IQ
依存関係のチェック
依存関係の追跡
重大度
結果
コメント

dom4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
ハイ
TRUE

CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
ハイ
TRUE

log4jコア: 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
ハイ
TRUE

CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
ロー
TRUE

log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
ハイ
TRUE

-
CVE-2020-9488
-
ロー
TRUE

SONATYPE-2010-0053
-
-
ハイ
TRUE

コモンズコレクション:3.1
-
CVE-2015-6420
CVE-2015-6420
ハイ
間違った情報
重複 RCE(OSSINDEX)

-
CVE-2017-15708
CVE-2017-15708
ハイ
間違った情報
重複 RCE(OSSINDEX)

SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(オシンインデックス)
ハイ
TRUE

コモンズファイルアップロード:1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
ハイ
TRUE

SONATYPE-2014-0173
-
-
M
TRUE

commons-beanutils:1.7.0
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
ハイ
TRUE

-
CVE-2019-10086
CVE-2019-10086
ハイ
間違った情報
この脆弱性はバージョン 1.9.2 以降にのみ適用されます。

コモンズコーデック:1:10
SONATYPE-2012-0050
-
-
M
TRUE

mysql-connector-java:5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
ハイ
TRUE

CVE-2019-2692
CVE-2019-2692
-
M
TRUE

-
CVE-2020-2875
-
M
間違った情報
CVE-2019-2692 と同じ脆弱性ですが、「攻撃は追加の製品に重大な影響を与える可能性がある」という注記が付いています。

-
CVE-2017-15945
-
ハイ
間違った情報
mysql-connector-java には関係ありません

-
CVE-2020-2933
-
ロー
間違った情報
CVE-2020-2934 の重複

CVE-2020-2934
CVE-2020-2934
-
M
TRUE

スプリング式:3.0.5
CVE-2018-1270
コンポーネントが見つかりません
-
ハイ
TRUE

CVE-2018-1257
-
-
M
TRUE

スプリングウェブ:3.0.5
CVE-2016-1000027
コンポーネントが見つかりません
-
ハイ
TRUE

CVE-2014-0225
-
CVE-2014-0225
ハイ
TRUE

CVE-2011-2730
-
-
ハイ
TRUE

-
-
CVE-2013-4152
M
TRUE

CVE-2018-1272
-
-
ハイ
TRUE

CVE-2020-5398
-
-
ハイ
TRUE
IQ を支持する具体例: 「Sonatype セキュリティ研究チームは、この脆弱性が勧告に記載されている 3.0.2.x ではなく、バージョン 5.0.RELEASE で導入されたことを発見しました。」

CVE-2013-6429
-
-
M
TRUE

CVE-2014-0054
-
CVE-2014-0054
M
TRUE

CVE-2013-6430
-
-
M
TRUE

スプリングコンテキスト:3.0.5
CVE-2011-2894
コンポーネントが見つかりません
-
M
TRUE

スプリングコア:3.0.5
-
CVE-2011-2730
CVE-2011-2730
ハイ
TRUE

CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
M
TRUE

-
-
CVE-2013-4152
M
間違った情報
spring-web にある同じ脆弱性の複製

-
CVE-2013-4152
-
M
間違った情報
この脆弱性は spring-web コンポーネントに関連しています

-
CVE-2013-6429
CVE-2013-6429
M
間違った情報
この脆弱性は spring-web コンポーネントに関連しています

-
CVE-2013-6430
-
M
間違った情報
この脆弱性は spring-web コンポーネントに関連しています

-
CVE-2013-7315
CVE-2013-7315
M
間違った情報
CVE-2013-4152 からの分割。 + 脆弱性は spring-web コンポーネントに関連しています

-
CVE-2014-0054
CVE-2014-0054
M
間違った情報
この脆弱性は spring-web コンポーネントに関連しています

-
CVE-2014-0225
-
ハイ
間違った情報
この脆弱性は spring-web コンポーネントに関連しています

-
-
CVE-2014-0225
ハイ
間違った情報
spring-web にある同じ脆弱性の複製

-
CVE-2014-1904
CVE-2014-1904
M
間違った情報
この脆弱性は spring-web-mvc コンポーネントに関連しています

-
CVE-2014-3625
CVE-2014-3625
M
間違った情報
この脆弱性は spring-web-mvc コンポーネントに関連しています

-
CVE-2016-9878
CVE-2016-9878
ハイ
間違った情報
この脆弱性は spring-web-mvc コンポーネントに関連しています

-
CVE-2018-1270
CVE-2018-1270
ハイ
間違った情報
春の表現・春のメッセージの場合

-
CVE-2018-1271
CVE-2018-1271
M
間違った情報
この脆弱性は spring-web-mvc コンポーネントに関連しています

-
CVE-2018-1272
CVE-2018-1272
ハイ
TRUE

CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
M
TRUE

SONATYPE-2015-0327
-
-
ロー
TRUE

struts2-config-browser-plugin:2.3.30
SONATYPE-2016-0104
-
-
M
TRUE

スプリングTX:3.0.5
-
CVE-2011-2730
-
ハイ
間違った情報
この脆弱性は spring-tx に固有のものではありません

-
CVE-2011-2894
-
ハイ
間違った情報
この脆弱性は spring-tx に固有のものではありません

-
CVE-2013-4152
-
M
間違った情報
この脆弱性は spring-tx に固有のものではありません

-
CVE-2013-6429
-
M
間違った情報
この脆弱性は spring-tx に固有のものではありません

-
CVE-2013-6430
-
M
間違った情報
この脆弱性は spring-tx に固有のものではありません

-
CVE-2013-7315
-
M
間違った情報
この脆弱性は spring-tx に固有のものではありません

-
CVE-2014-0054
-
M
間違った情報
この脆弱性は spring-tx に固有のものではありません

-
CVE-2014-0225
-
ハイ
間違った情報
この脆弱性は spring-tx に固有のものではありません

-
CVE-2014-1904
-
M
間違った情報
この脆弱性は spring-tx に固有のものではありません

-
CVE-2014-3625
-
M
間違った情報
この脆弱性は spring-tx に固有のものではありません

-
CVE-2016-9878
-
ハイ
間違った情報
この脆弱性は spring-tx に固有のものではありません

-
CVE-2018-1270
-
ハイ
間違った情報
この脆弱性は spring-tx に固有のものではありません

-
CVE-2018-1271
-
M
間違った情報
この脆弱性は spring-tx に固有のものではありません

-
CVE-2018-1272
-
M
間違った情報
この脆弱性は spring-tx に固有のものではありません

ストラットコア:1.3.8
-
CVE-2011-5057 (OSSINDEX)

M
ファスレ
Struts 2 に対する脆弱性

-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
ハイ
間違った情報
Struts 2 に対する脆弱性

-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
M
間違った情報
Struts 2 に対する脆弱性

-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
ハイ
間違った情報
Struts 2 に対する脆弱性

CVE-2016-1182
3VE-2016-1182
-
ハイ
TRUE

-
-
CVE-2011-5057
M
間違った情報
Struts 2 に対する脆弱性

-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
ハイ
間違った情報
Struts 2 に対する脆弱性

-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
M
間違った情報
Struts 2 に対する脆弱性

CVE-2015-0899
CVE-2015-0899
-
ハイ
TRUE

-
CVE-2012-0394
CVE-2012-0394
M
間違った情報
Struts 2 に対する脆弱性

-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
ハイ
間違った情報
Struts 2 に対する脆弱性

-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
ハイ
間違った情報
Struts 2 に対する脆弱性

-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
ハイ
ファスレ
Struts 2 に対する脆弱性

-
CVE-2013-2115
CVE-2013-2115
ハイ
ファスレ
Struts 2 に対する脆弱性

-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
ハイ
ファスレ
Struts 2 に対する脆弱性

-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
ハイ
ファスレ
Struts 2 に対する脆弱性

CVE-2014-0114
CVE-2014-0114
-
ハイ
TRUE

-
CVE-2015-2992
CVE-2015-2992
M
間違った情報
Struts 2 に対する脆弱性

-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
ハイ
間違った情報
Struts 2 に対する脆弱性

CVE-2016-1181
CVE-2016-1181
-
ハイ
TRUE

-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
ハイ
間違った情報
Struts 2 に対する脆弱性

xwork-core:2.3.30
CVE-2017-9804
-
-
ハイ
TRUE

SONATYPE-2017-0173
-
-
ハイ
TRUE

CVE-2017-7672
-
-
ハイ
間違った情報
CVE-2017-9804 の重複

SONATYPE-2016-0127
-
-
ハイ
TRUE

struts2-core:2.3.30
-
CVE-2016-6795
CVE-2016-6795
ハイ
TRUE

-
CVE-2017-9787
CVE-2017-9787
ハイ
TRUE

-
CVE-2017-9791
CVE-2017-9791
ハイ
TRUE

-
CVE-2017-9793
-
ハイ
間違った情報
CVE-2018-1327 の重複

-
CVE-2017-9804
-
ハイ
TRUE

-
CVE-2017-9805
CVE-2017-9805
ハイ
TRUE

CVE-2016-4003
-
-
M
間違った情報
Apache Struts 2.x から 2.3.28 (バージョン 2.3.30) までに適用されます。 ただし、説明によると、JRE 2 以下が使用されている場合、CVE は Struts 1.7 のどのバージョンでも有効です。 どうやら彼らはここで私たちに再保険をかけることに決めたようですが、それはむしろ嘘のようです

-
CVE-2018-1327
CVE-2018-1327
ハイ
TRUE

CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
ハイ
TRUE
2017 年に Equifax ハッカーが悪用したのと同じ脆弱性

CVE-2017-12611
CVE-2017-12611
-
ハイ
TRUE

CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
ハイ
TRUE

struts-taglib:1.3.8
-
CVE-2012-0394
-
M
間違った情報
ストラット用2芯

-
CVE-2013-2115
-
ハイ
間違った情報
ストラット用2芯

-
CVE-2014-0114
-
ハイ
間違った情報
コモンズ-beanutilsの場合

-
CVE-2015-0899
-
ハイ
間違った情報
タグリブには適用されません

-
CVE-2015-2992
-
M
間違った情報
struts2-core を参照します

-
CVE-2016-1181
-
ハイ
間違った情報
タグリブには適用されません

-
CVE-2016-1182
-
ハイ
間違った情報
タグリブには適用されません

ストラットタイル-1.3.8
-
CVE-2012-0394
-
M
間違った情報
ストラット用2芯

-
CVE-2013-2115
-
ハイ
間違った情報
ストラット用2芯

-
CVE-2014-0114
-
ハイ
間違った情報
commons-beanutils の下で

-
CVE-2015-0899
-
ハイ
間違った情報
タイルには適用されません

-
CVE-2015-2992
-
M
間違った情報
ストラット用2芯

-
CVE-2016-1181
-
ハイ
間違った情報
タグリブには適用されません

-
CVE-2016-1182
-
ハイ
間違った情報
タグリブには適用されません

出所： habr.com