დაუცველობის სკანერის გამოყენება გამოყენებული ბიბლიოთეკებისთვის Dependency-Check in GitlabCI

დაუცველობის მენეჯმენტის მნიშვნელოვანი ნაწილია პროგრამული უზრუნველყოფის კომპონენტების მიწოდების ჯაჭვის საფუძვლიანი გაგება და დაცვა, რომლებიც ქმნიან თანამედროვე სისტემებს. Agile და DevOps გუნდები ფართოდ იყენებენ ღია კოდის ბიბლიოთეკებსა და ჩარჩოებს, რათა შეამცირონ განვითარების დრო და ღირებულება. მაგრამ ამ მედალს აქვს უარყოფითი მხარეც: სხვა ადამიანების შეცდომების და დაუცველობის მემკვიდრეობის მიღების შესაძლებლობა.

ცხადია, გუნდმა უნდა იცოდეს, თუ რომელი ღია კოდის კომპონენტები შედის მის აპლიკაციებში, უზრუნველყოს ცნობილი სანდო ვერსიების ჩამოტვირთვა ცნობილი სანდო წყაროებიდან და ჩამოტვირთოს კომპონენტების განახლებული ვერსიები ახლად აღმოჩენილი დაუცველობების შესწორების შემდეგ.

ამ პოსტში ჩვენ განვიხილავთ OWASP დამოკიდებულების შემოწმების გამოყენებას build-ის შესაჩერებლად, თუ ის თქვენს კოდთან სერიოზულ პრობლემებს აღმოაჩენს.

წიგნში "განვითარების უსაფრთხოება სწრაფი პროექტებში" აღწერილია შემდეგნაირად. OWASP Dependency Check არის უფასო სკანერი, რომელიც კატალოგს ათავსებს აპლიკაციაში გამოყენებულ ყველა ღია კოდის კომპონენტს და აჩვენებს მათ დაუცველობას. არსებობს ვერსიები Java, .NET, Ruby (gemspec), PHP (კომპოზიტორი), Node.js და Python, ასევე ზოგიერთი C/C++ პროექტისთვის. დამოკიდებულების შემოწმება ინტეგრირებულია საერთო კონსტრუქციის ინსტრუმენტებთან, მათ შორის Ant, Maven და Gradle და უწყვეტი ინტეგრაციის სერვერებთან, როგორიცაა Jenkins.

დამოკიდებულების შემოწმება აცნობებს ყველა კომპონენტს ცნობილი დაუცველობით NIST-ის დაუცველობის ეროვნული მონაცემთა ბაზიდან (NVD) და განახლებულია NVD ახალი ამბების მონაცემებით.

საბედნიეროდ, ეს ყველაფერი შეიძლება გაკეთდეს ავტომატურად ისეთი ინსტრუმენტების გამოყენებით, როგორიცაა OWASP Dependency Check პროექტი ან კომერციული პროგრამები, როგორიცაა შავი იხვი, JFrog Xray, სნიკი, Nexus სასიცოცხლო ციკლი სონატიპი ან SourceClear.

ეს ხელსაწყოები შეიძლება ჩართული იყოს build pipelines-ში, რათა ავტომატურად მოახდინოს ღია წყაროზე დამოკიდებულების ინვენტარიზაცია, ბიბლიოთეკებისა და ბიბლიოთეკების მოძველებული ვერსიების იდენტიფიცირება, რომლებიც შეიცავს ცნობილ დაუცველობას და შეაჩეროს build-ები, თუ სერიოზული პრობლემები გამოვლინდება.

OWASP დამოკიდებულების შემოწმება

შესამოწმებლად და იმის დემონსტრირებისთვის, თუ როგორ მუშაობს დამოკიდებულების შემოწმება, ჩვენ ვიყენებთ ამ საცავს დამოკიდებულება-შემოწმება-მაგალითი.

HTML ანგარიშის სანახავად, თქვენ უნდა დააკონფიგურიროთ nginx ვებ სერვერი თქვენს gitlab-runner-ზე.

მინიმალური nginx კონფიგურაციის მაგალითი:

server {
    listen       9999;
    listen       [::]:9999;
    server_name  _;
    root         /home/gitlab-runner/builds;

    location / {
        autoindex on;
    }

    error_page 404 /404.html;
        location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }
}

შეკრების დასასრულს შეგიძლიათ ნახოთ ეს სურათი:

მიჰყევით ბმულს და იხილეთ დამოკიდებულების შემოწმების ანგარიში.

პირველი სკრინშოტი არის მოხსენების ზედა ნაწილი შეჯამებით.

მეორე სკრინშოტის დეტალები CVE-2017-5638. აქ ჩვენ ვხედავთ CVE დონეს და ბმულებს ექსპლოიტებთან.

მესამე სკრინშოტი არის log4j-api-2.7.jar-ის დეტალები. ჩვენ ვხედავთ, რომ CVE დონეებია 7.5 და 9.8.

მეოთხე სკრინშოტი არის Commons-fileupload-1.3.2.jar-ის დეტალები. ჩვენ ვხედავთ, რომ CVE დონეებია 7.5 და 9.8.

თუ გსურთ გამოიყენოთ gitlab გვერდები, მაშინ ის არ იმუშავებს - წაშლილი დავალება არ შექმნის არტეფაქტს.

მაგალითი აქ https://gitlab.com/anton_patsev/dependency-check-example-gitlab-pages.

Build output: არტეფაქტების გარეშე, მე ვერ ვხედავ html ანგარიშს. თქვენ უნდა სცადოთ Artifact: ყოველთვის

https://gitlab.com/anton_patsev/dependency-check-example-gitlab-pages/-/jobs/400004246

CVE მოწყვლადობის დონის რეგულირება

ყველაზე მნიშვნელოვანი ხაზი gitlab-ci.yaml ფაილში:

mvn $MAVEN_CLI_OPTS test org.owasp:dependency-check-maven:check -DfailBuildOnCVSS=7

failBuildOnCVSS პარამეტრით შეგიძლიათ დაარეგულიროთ CVE მოწყვლადობის დონე, რომელზეც უნდა უპასუხოთ.

NIST დაუცველობის მონაცემთა ბაზის (NVD) ჩამოტვირთვა ინტერნეტიდან

შენიშნეთ, რომ NIST მუდმივად ჩამოტვირთავს NIST დაუცველობის მონაცემთა ბაზებს (NVD) ინტერნეტიდან:

ჩამოსატვირთად შეგიძლიათ გამოიყენოთ კომუნალური პროგრამა nist_data_mirror_golang

მოდით დავაინსტალიროთ და გავუშვათ იგი.

yum -y install yum-plugin-copr
yum copr enable antonpatsev/nist_data_mirror_golang
yum -y install nist-data-mirror
systemctl start nist-data-mirror

Nist-data-mirror ატვირთავს NIST JSON CVE-ს /var/www/repos/nist-data-mirror/-ზე გაშვებისას და აახლებს მონაცემებს ყოველ 24 საათში.

CVE JSON NIST-ის ჩამოსატვირთად, თქვენ უნდა დააკონფიგურიროთ nginx ვებ სერვერი (მაგალითად, თქვენს gitlab-runner-ზე).

მინიმალური nginx კონფიგურაციის მაგალითი:

server {
    listen       12345;
    listen       [::]:12345;
    server_name  _;
    root         /var/www/repos/nist-data-mirror/;

    location / {
        autoindex on;
    }

    error_page 404 /404.html;
        location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }

}

იმისათვის, რომ არ მოხდეს გრძელი ხაზი, სადაც mvn არის გაშვებული, ჩვენ გადავიტანთ პარამეტრებს ცალკე ცვლადში DEPENDENCY_OPTS.

საბოლოო მინიმალური კონფიგურაცია .gitlab-ci.yml ასე გამოიყურება:

variables:
  MAVEN_OPTS: "-Dhttps.protocols=TLSv1.2 -Dmaven.repo.local=$CI_PROJECT_DIR/.m2/repository -Dorg.slf4j.simpleLogger.log.org.apache.maven.cli.transfer.Slf4jMavenTransferListener=WARN -Dorg.slf4j.simpleLogger.showDateTime=true -Djava.awt.headless=true"
  MAVEN_CLI_OPTS: "--batch-mode --errors --fail-at-end --show-version -DinstallAtEnd=true -DdeployAtEnd=true"
  DEPENDENCY_OPTS: "-DfailBuildOnCVSS=7 -DcveUrlModified=http://localhost:12345/nvdcve-1.1-modified.json.gz -DcveUrlBase=http://localhost:12345/nvdcve-1.1-%d.json.gz"

cache:
  paths:
    - .m2/repository

verify:
  stage: test
  script:
    - set +e
    - mvn $MAVEN_CLI_OPTS install org.owasp:dependency-check-maven:check $DEPENDENCY_OPTS || EXIT_CODE=$?
    - export PATH_WITHOUT_HOME=$(pwd | sed -e "s//home/gitlab-runner/builds//g")
    - echo "************************* URL Dependency-check-report.html *************************"
    - echo "http://$HOSTNAME:9999$PATH_WITHOUT_HOME/target/dependency-check-report.html"
    - set -e
    - exit ${EXIT_CODE}
  tags:
    - shell

Telegram ჩატი DevOps-ისა და უსაფრთხოების შესახებ
ტელეგრამის არხი DevSecOps / SSDLC - უსაფრთხო განვითარება

წყარო: www.habr.com