DevSecOps: គោលការណ៍នៃប្រតិបត្តិការ និងការប្រៀបធៀប SCA ។ ផ្នែកទីមួយ

សារៈសំខាន់នៃការវិភាគសមាសធាតុផ្នែកទន់ភាគីទីបី (ការវិភាគសមាសភាពកម្មវិធី - SCA) នៅក្នុងដំណើរការអភិវឌ្ឍន៍កំពុងកើនឡើងជាមួយនឹងការចេញផ្សាយរបាយការណ៍ប្រចាំឆ្នាំស្តីពីភាពងាយរងគ្រោះនៃបណ្ណាល័យប្រភពបើកចំហ ដែលត្រូវបានបោះពុម្ពដោយ Synopsys, Sonatype, Snyk និង White Source . នេះ​បើ​តាម​របាយការណ៍ ស្ថានភាពនៃភាពងាយរងគ្រោះសុវត្ថិភាពប្រភពបើកចំហ 2020 ចំនួននៃភាពងាយរងគ្រោះនៃប្រភពបើកចំហដែលបានកំណត់នៅឆ្នាំ 2019 បានកើនឡើងជិត 1.5 ដងបើប្រៀបធៀបទៅនឹងឆ្នាំមុន ខណៈដែលសមាសធាតុប្រភពបើកចំហត្រូវបានប្រើប្រាស់ពី 60% ទៅ 80% នៃគម្រោង។ នៅលើមូលដ្ឋានឯករាជ្យ ដំណើរការ SCA គឺជាការអនុវត្តដាច់ដោយឡែកមួយរបស់ OWASP SAMM និង BSIMM ជាសូចនាករនៃភាពចាស់ទុំ ហើយនៅក្នុងពាក់កណ្តាលដំបូងនៃឆ្នាំ 2020 OWASP បានចេញផ្សាយស្តង់ដារផ្ទៀងផ្ទាត់សមាសភាគកម្មវិធី OWASP ថ្មី (SCVS) ដែលផ្តល់នូវការអនុវត្តល្អបំផុតសម្រាប់ការផ្ទៀងផ្ទាត់ទីបី- សមាសធាតុភាគីនៅក្នុងខ្សែសង្វាក់ផ្គត់ផ្គង់ BY.

ករណី​មួយ​ក្នុង​ចំណោម​ករណី​ដែល​គួរ​ឱ្យ​កត់​សម្គាល់ បានកើតឡើង ជាមួយ Equifax ក្នុងខែឧសភា ឆ្នាំ 2017។ អ្នកវាយប្រហារមិនស្គាល់អត្តសញ្ញាណបានទទួលព័ត៌មានអំពីជនជាតិអាមេរិកចំនួន 143 លាននាក់ រួមទាំងឈ្មោះពេញ អាសយដ្ឋាន លេខសន្តិសុខសង្គម និងប័ណ្ណបើកបរ។ ក្នុង 209 ករណី ឯកសារក៏រួមបញ្ចូលព័ត៌មានអំពីកាតធនាគាររបស់ជនរងគ្រោះផងដែរ។ ការលេចធ្លាយនេះបានកើតឡើងជាលទ្ធផលនៃការកេងប្រវ័ញ្ចនៃភាពងាយរងគ្រោះដ៏សំខាន់នៅក្នុង Apache Struts 000 (CVE-2-2017) ខណៈពេលដែលការជួសជុលត្រូវបានចេញផ្សាយឡើងវិញនៅក្នុងខែមីនា ឆ្នាំ 5638 ។ ក្រុមហ៊ុន​មាន​ពេល​ពីរ​ខែ​ដើម្បី​ដំឡើង​កំណែ​អាប់ដេត ប៉ុន្តែ​គ្មាន​អ្នក​ណា​រំខាន​វា​ទេ។

អត្ថបទនេះនឹងពិភាក្សាអំពីបញ្ហានៃការជ្រើសរើសឧបករណ៍សម្រាប់ដំណើរការ SCA ពីចំណុចនៃទិដ្ឋភាពនៃគុណភាពនៃលទ្ធផលវិភាគ។ ការប្រៀបធៀបមុខងារនៃឧបករណ៍ក៏នឹងត្រូវបានផ្តល់ជូនផងដែរ។ ដំណើរការនៃការធ្វើសមាហរណកម្មទៅក្នុង CI/CD និងសមត្ថភាពសមាហរណកម្មនឹងត្រូវបានទុកសម្រាប់ការបោះពុម្ពជាបន្តបន្ទាប់។ ឧបករណ៍ជាច្រើនត្រូវបានបង្ហាញដោយ OWASP នៅលើគេហទំព័ររបស់អ្នក។ប៉ុន្តែនៅក្នុងការពិនិត្យឡើងវិញបច្ចុប្បន្ន យើងនឹងប៉ះលើឧបករណ៍ប្រភពបើកចំហដែលពេញនិយមបំផុត ការត្រួតពិនិត្យភាពអាស្រ័យ ដែលជាវេទិកាប្រភពបើកចំហដែលមិនសូវស្គាល់ច្បាស់បន្តិច តាមដានការពឹងផ្អែក និងដំណោះស្រាយសហគ្រាស Sonatype Nexus IQ ។ យើងក៏នឹងយល់ពីរបៀបដែលដំណោះស្រាយទាំងនេះដំណើរការ និងប្រៀបធៀបលទ្ធផលដែលទទួលបានសម្រាប់ភាពវិជ្ជមានមិនពិត។

របៀបដែលវាធ្វើការ

ការត្រួតពិនិត្យភាពអាស្រ័យ គឺជាឧបករណ៍ប្រើប្រាស់ (CLI, maven, jenkins module, ant) ​​​​ដែលវិភាគឯកសារគម្រោង ប្រមូលព័ត៌មានអំពីភាពអាស្រ័យ (ឈ្មោះកញ្ចប់, groupid, ចំណងជើងជាក់លាក់, កំណែ...) បង្កើតបន្ទាត់ CPE (Common Platform Enumeration) កញ្ចប់ URL (PURL) និងកំណត់ភាពងាយរងគ្រោះសម្រាប់ CPE/PURL ពីមូលដ្ឋានទិន្នន័យ (NVD, Sonatype OSS Index, NPM Audit API...) បន្ទាប់មកវាបង្កើតរបាយការណ៍តែម្តងជាទម្រង់ HTML, JSON, XML...

តោះមើល CPE មើលទៅដូចអ្វី៖

cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other

• ផ្នែក: ការចង្អុលបង្ហាញថាធាតុផ្សំទាក់ទងនឹងកម្មវិធី (a) ប្រព័ន្ធប្រតិបត្តិការ (o) ផ្នែករឹង (h) (ទាមទារ)
• អ្នកលក់៖ ឈ្មោះក្រុមហ៊ុនផលិតផលិតផល (ទាមទារ)
• ផលិតផល: ឈ្មោះផលិតផល (ទាមទារ)
• កំណែ: កំណែសមាសធាតុ (ធាតុលែងប្រើ)
• ការធ្វើបច្ចប្បុន្នភាព: ការធ្វើបច្ចុប្បន្នភាពកញ្ចប់
• បោះពុម្ពលើក: កំណែ​ចាស់ (ធាតុ​ដែល​បាន​បដិសេធ)
• ភាសា: ភាសាដែលបានកំណត់ក្នុង RFC-5646
• កំណែ SW៖ កំណែកម្មវិធី
• គោលដៅ SW៖ បរិយាកាសកម្មវិធីដែលផលិតផលដំណើរការ
• គោលដៅ HW៖ បរិយាកាសផ្នែករឹងដែលផលិតផលដំណើរការ
• ផ្សេងទៀត: ព័ត៌មានអំពីអ្នកផ្គត់ផ្គង់ ឬផលិតផល

ឧទាហរណ៍ CPE មើលទៅដូចនេះ៖

cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*

បន្ទាត់មានន័យថា CPE កំណែ 2.3 ពិពណ៌នាអំពីសមាសភាគកម្មវិធីពីក្រុមហ៊ុនផលិត pivotal_software ជាមួយនឹងចំណងជើង spring_framework កំណែ 3.0.0 ។ ប្រសិនបើយើងបើកភាពងាយរងគ្រោះ CVE-2014-0225 នៅក្នុង NVD យើងអាចមើលឃើញការលើកឡើងអំពី CPE នេះ។ បញ្ហាដំបូងដែលអ្នកគួរយកចិត្តទុកដាក់ភ្លាមៗនោះគឺថា CVE នៅក្នុង NVD យោងទៅតាម CPE រាយការណ៍ពីបញ្ហានៅក្នុងក្របខណ្ឌ ហើយមិនមែននៅក្នុងសមាសធាតុជាក់លាក់នោះទេ។ នោះគឺប្រសិនបើអ្នកអភិវឌ្ឍន៍ត្រូវបានចងភ្ជាប់យ៉ាងតឹងរ៉ឹងទៅនឹងក្របខ័ណ្ឌ ហើយភាពងាយរងគ្រោះដែលបានកំណត់មិនប៉ះពាល់ដល់ម៉ូឌុលទាំងនោះដែលអ្នកអភិវឌ្ឍន៍ប្រើប្រាស់ទេ អ្នកឯកទេសសុវត្ថិភាពនឹងមធ្យោបាយមួយ ឬមធ្យោបាយផ្សេងទៀតដែលត្រូវតែផ្តាច់ CVE នេះហើយគិតអំពីការធ្វើបច្ចុប្បន្នភាព។

URL ក៏ត្រូវបានប្រើប្រាស់ដោយឧបករណ៍ SCA ផងដែរ។ ទម្រង់ URL កញ្ចប់មានដូចខាងក្រោម៖

scheme:type/namespace/name@version?qualifiers#subpath

• គ្រោងការណ៍៖ វាតែងតែមាន 'pkg' ដែលបង្ហាញថានេះគឺជា URL កញ្ចប់ (ទាមទារ)
• ប្រភេទ: "ប្រភេទ" នៃកញ្ចប់ ឬ "ពិធីការ" នៃកញ្ចប់ ដូចជា maven, npm, nuget, gem, pypi ជាដើម។ (ធាតុចាំបាច់)
• លំហឈ្មោះ: បុព្វបទឈ្មោះមួយចំនួន ដូចជាលេខសម្គាល់ក្រុម Maven ម្ចាស់រូបភាព Docker អ្នកប្រើប្រាស់ GitHub ឬស្ថាប័ន។ ស្រេចចិត្ត និងអាស្រ័យលើប្រភេទ។
• ឈ្មោះ: ឈ្មោះកញ្ចប់ (ទាមទារ)
• កំណែ: កំណែកញ្ចប់
• វគ្គជម្រុះ៖ ទិន្នន័យគុណវុឌ្ឍិបន្ថែមសម្រាប់កញ្ចប់ ដូចជា OS ស្ថាបត្យកម្ម ការចែកចាយ។ល។ ជាជម្រើស និងប្រភេទជាក់លាក់។
• ផ្លូវរង៖ ផ្លូវបន្ថែមនៅក្នុងកញ្ចប់ទាក់ទងទៅនឹងឫសកញ្ចប់

ឧទាហរណ៍:

pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]

បទអាស្រ័យ - វេទិកាគេហទំព័រក្នុងបរិវេណដែលទទួលយកវិក័យប័ត្រសម្ភារៈដែលត្រៀមរួចជាស្រេច (BOM) បានបង្កើត ព្យុះស៊ីក្លូនDX и អេស។ ឌី។ អេនោះគឺជាការបញ្ជាក់ដែលត្រៀមរួចជាស្រេចអំពីភាពអាស្រ័យដែលមានស្រាប់។ នេះគឺជាឯកសារ XML ដែលពិពណ៌នាអំពីភាពអាស្រ័យ - ឈ្មោះ, សញ្ញា, url កញ្ចប់, អ្នកបោះពុម្ពផ្សាយ, អាជ្ញាប័ណ្ណ។ បន្ទាប់មក Dependency Track ញែក BOM មើលទៅ CVEs ដែលមានសម្រាប់ភាពអាស្រ័យដែលបានកំណត់ពីមូលដ្ឋានទិន្នន័យភាពងាយរងគ្រោះ (NVD, Sonatype OSS Index...) បន្ទាប់មកវាបង្កើតក្រាហ្វ គណនាម៉ែត្រ ធ្វើបច្ចុប្បន្នភាពទិន្នន័យជាប្រចាំអំពីស្ថានភាពភាពងាយរងគ្រោះនៃសមាសធាតុ។ .

ឧទាហរណ៍នៃអ្វីដែល BOM អាចមើលទៅដូចក្នុងទម្រង់ XML៖

<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
  <components>
    <component type="library">
      <publisher>Apache</publisher>
      <group>org.apache.tomcat</group>
      <name>tomcat-catalina</name>
      <version>9.0.14</version>
      <hashes>
        <hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
        <hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
        <hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
        <hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
      </hashes>
      <licenses>
        <license>
          <id>Apache-2.0</id>
        </license>
      </licenses>
      <purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
    </component>
      <!-- More components here -->
  </components>
</bom>

BOM អាច​ត្រូវ​បាន​ប្រើ​មិន​ត្រឹម​តែ​ជា​ប៉ារ៉ាម៉ែត្រ​បញ្ចូល​សម្រាប់​បទ​អាស្រ័យ​ប៉ុណ្ណោះ​ទេ​ ប៉ុន្តែ​ក៏​សម្រាប់​ការ​បញ្ចូល​សមាសធាតុ​សូហ្វវែរ​ក្នុង​សង្វាក់​ផ្គត់ផ្គង់​ជា​ឧទាហរណ៍​សម្រាប់​ការ​ផ្តល់​កម្មវិធី​ដល់​អតិថិជន។ នៅឆ្នាំ 2014 សូម្បីតែច្បាប់មួយត្រូវបានស្នើឡើងនៅសហរដ្ឋអាមេរិក "ច្បាប់គ្រប់គ្រងសង្វាក់ផ្គត់ផ្គង់តាមអ៊ីនធឺណិត និងតម្លាភាពនៃឆ្នាំ 2014"ដែលបញ្ជាក់ថានៅពេលទិញកម្មវិធី រដ្ឋណាមួយ។ ស្ថាប័នត្រូវតែស្នើសុំ BOM ដើម្បីទប់ស្កាត់ការប្រើប្រាស់សមាសធាតុដែលងាយរងគ្រោះ ប៉ុន្តែទង្វើនេះមិនទាន់ចូលជាធរមាននៅឡើយ។

ត្រលប់ទៅ SCA វិញ Dependency Track មានសមាហរណកម្មដែលត្រៀមរួចជាស្រេចជាមួយនឹងកម្មវិធី Notification Platforms ដូចជា Slack ប្រព័ន្ធគ្រប់គ្រងភាពងាយរងគ្រោះដូចជា Kenna Security ជាដើម។ វាក៏មានតម្លៃផងដែរដែលនិយាយថា Dependency Track ក្នុងចំណោមរបស់ផ្សេងទៀត កំណត់កំណែហួសសម័យនៃកញ្ចប់ និងផ្តល់ព័ត៌មានអំពីអាជ្ញាប័ណ្ណ (ដោយសារការគាំទ្រ SPDX)។

ប្រសិនបើយើងនិយាយជាពិសេសអំពីគុណភាពនៃ SCA នោះវាមានភាពខុសគ្នាជាមូលដ្ឋាន។

Dependency Track មិនទទួលយកគម្រោងជាការបញ្ចូលទេ ប៉ុន្តែជា BOM ។ នេះមានន័យថា ប្រសិនបើយើងចង់សាកល្បងគម្រោងដំបូង យើងត្រូវបង្កើត bom.xml ជាឧទាហរណ៍ ដោយប្រើ CycloneDX។ ដូច្នេះ Dependency Track គឺពឹងផ្អែកដោយផ្ទាល់លើ CycloneDX។ ក្នុងពេលជាមួយគ្នានេះវាអនុញ្ញាតឱ្យមានការប្ដូរតាមបំណង។ នេះជាអ្វីដែលក្រុមការងារ OZON បានសរសេរ ម៉ូឌុល CycloneDX សម្រាប់ការប្រមូលផ្តុំឯកសារ BOM សម្រាប់គម្រោង Golang សម្រាប់ការស្កេនបន្ថែមតាមរយៈ Dependency Track ។

Nexus IQ គឺជាដំណោះស្រាយ SCA ពាណិជ្ជកម្មពី Sonatype ដែលជាផ្នែកមួយនៃប្រព័ន្ធអេកូ Sonatype ដែលរួមបញ្ចូលទាំង Nexus Repository Manager ផងដែរ។ Nexus IQ អាចទទួលយកជាការបញ្ចូលទាំងបណ្ណសារសង្រ្គាម (សម្រាប់គម្រោង java) តាមរយៈ web interface ឬ API និង BOM ប្រសិនបើស្ថាប័នរបស់អ្នកមិនទាន់បានប្តូរពី CycloneDX ទៅជាដំណោះស្រាយថ្មីមួយ។ មិនដូចដំណោះស្រាយប្រភពបើកចំហទេ IQ មិនត្រឹមតែសំដៅទៅលើ CP/PURL ទៅកាន់សមាសភាគដែលបានកំណត់អត្តសញ្ញាណ និងភាពងាយរងគ្រោះដែលត្រូវគ្នានៅក្នុងមូលដ្ឋានទិន្នន័យប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងគិតគូរដល់ការស្រាវជ្រាវផ្ទាល់ខ្លួនរបស់វា ឧទាហរណ៍ ឈ្មោះមុខងារ ឬថ្នាក់ដែលងាយរងគ្រោះ។ យន្តការនៃ IQ នឹងត្រូវបានពិភាក្សានៅពេលក្រោយក្នុងការវិភាគលទ្ធផល។

ចូរ​សង្ខេប​មុខងារ​មួយ​ចំនួន ហើយ​ក៏​ពិចារណា​អំពី​ភាសា​ដែល​គាំទ្រ​សម្រាប់​ការ​វិភាគ៖

ភាសា
Nexus IQ
ការត្រួតពិនិត្យភាពអាស្រ័យ
បទអាស្រ័យ

កោះជ្វា
+
+
+

C / C ++
+
+
-

C#
+
+
-

។ សុទ្ធ
+
+
+

អេលឡាំង
-
-
+

JavaScript (NodeJS)
+
+
+

កម្មវិធី PHP
+
+
+

ពស់ថ្លាន់
+
+
+

Ruby ព្រម
+
+
+

Perl
-
-
-

Scala
+
+
+

គោលបំណងគ
+
+
-

Swift បាន
+
+
-

R
+
-
-

Go
+
+
+

មុខងារ

មុខងារ
Nexus IQ
ការត្រួតពិនិត្យភាពអាស្រ័យ
បទអាស្រ័យ

សមត្ថភាពក្នុងការធានាថាសមាសធាតុដែលបានប្រើនៅក្នុងកូដប្រភពត្រូវបានពិនិត្យសម្រាប់ភាពបរិសុទ្ធដែលមានអាជ្ញាប័ណ្ណ
+
-
+

សមត្ថភាពក្នុងការស្កេន និងវិភាគរកភាពងាយរងគ្រោះ និងភាពស្អាតនៃអាជ្ញាប័ណ្ណសម្រាប់រូបភាព Docker
+ ការរួមបញ្ចូលជាមួយ Clair
-
-

សមត្ថភាពក្នុងការកំណត់រចនាសម្ព័ន្ធគោលការណ៍សុវត្ថិភាពដើម្បីប្រើបណ្ណាល័យប្រភពបើកចំហ
+
-
-

សមត្ថភាពក្នុងការស្កេនឃ្លាំងប្រភពបើកចំហសម្រាប់សមាសធាតុដែលងាយរងគ្រោះ
+ RubyGems, Maven, NPM, Nuget, Pypi, Conan, Bower, Conda, Go, p2, R, Yum, Helm, Docker, CocoaPods, Git LFS
-
+ Hex, RubyGems, Maven, NPM, Nuget, Pypi

ភាពអាចរកបាននៃក្រុមស្រាវជ្រាវឯកទេស
+
-
-

ប្រតិបត្តិការរង្វិលជុំបិទ
+
+
+

ការប្រើប្រាស់មូលដ្ឋានទិន្នន័យភាគីទីបី
+ បិទមូលដ្ឋានទិន្នន័យ Sonatype
+ Sonatype OSS, NPM ទីប្រឹក្សាសាធារណៈ
+ Sonatype OSS, NPM Public Advisors, RetireJS, VulnDB, ការគាំទ្រសម្រាប់មូលដ្ឋានទិន្នន័យភាពងាយរងគ្រោះផ្ទាល់ខ្លួន។

សមត្ថភាពក្នុងការត្រងសមាសធាតុប្រភពបើកចំហនៅពេលព្យាយាមផ្ទុកទៅក្នុងរង្វិលជុំអភិវឌ្ឍន៍ដោយយោងតាមគោលការណ៍ដែលបានកំណត់រចនាសម្ព័ន្ធ
+
-
-

ការណែនាំសម្រាប់ជួសជុលភាពងាយរងគ្រោះ ភាពអាចរកបាននៃតំណភ្ជាប់ដើម្បីជួសជុល
+
+- (អាស្រ័យលើការពិពណ៌នានៅក្នុងមូលដ្ឋានទិន្នន័យសាធារណៈ)
+- (អាស្រ័យលើការពិពណ៌នានៅក្នុងមូលដ្ឋានទិន្នន័យសាធារណៈ)

ចំណាត់ថ្នាក់នៃភាពងាយរងគ្រោះដែលបានរកឃើញដោយភាពធ្ងន់ធ្ងរ
+
+
+

គំរូនៃការចូលប្រើដោយផ្អែកលើតួនាទី
+
-
+

ការគាំទ្រ CLI
+
+
+- (សម្រាប់តែ CycloneDX)

គំរូ/តម្រៀបភាពងាយរងគ្រោះដោយយោងតាមលក្ខណៈវិនិច្ឆ័យដែលបានកំណត់
+
-
+

ផ្ទាំងគ្រប់គ្រងតាមស្ថានភាពកម្មវិធី
+
-
+

ការបង្កើតរបាយការណ៍ជាទម្រង់ PDF
+
-
-

កំពុងបង្កើតរបាយការណ៍ជាទម្រង់ JSONCSV
+
+
-

ការគាំទ្រភាសារុស្ស៊ី
-
-
-

សមត្ថភាពរួមបញ្ចូលគ្នា

សមាហរណកម្ម
Nexus IQ
ការត្រួតពិនិត្យភាពអាស្រ័យ
បទអាស្រ័យ

ការរួមបញ្ចូល LDAP/Active Directory
+
-
+

ការធ្វើសមាហរណកម្មជាមួយប្រព័ន្ធរួមបញ្ចូលគ្នាជាបន្តបន្ទាប់ឫស្សី
+
-
-

សមាហរណកម្មជាមួយប្រព័ន្ធរួមបញ្ចូលជាបន្តបន្ទាប់ TeamCity
+
-
-

សមាហរណកម្មជាមួយប្រព័ន្ធរួមបញ្ចូលជាបន្តបន្ទាប់ GitLab
+
+- (ជាកម្មវិធីជំនួយសម្រាប់ GitLab)
+

សមាហរណកម្មជាមួយប្រព័ន្ធរួមបញ្ចូលជាបន្តបន្ទាប់ Jenkins
+
+
+

ភាពអាចរកបាននៃកម្មវិធីជំនួយសម្រាប់ IDE
+ IntelliJ, Eclipse, Visual Studio
-
-

ការគាំទ្រសម្រាប់ការរួមបញ្ចូលផ្ទាល់ខ្លួនតាមរយៈសេវាកម្មគេហទំព័រ (API) នៃឧបករណ៍
+
-
+

ការត្រួតពិនិត្យភាពអាស្រ័យ

ចាប់ផ្តើមជាលើកដំបូង

តោះដំណើរការ Dependency Check លើកម្មវិធីដែលងាយរងគ្រោះដោយចេតនា DVJA.

សម្រាប់រឿងនេះយើងនឹងប្រើ ពិនិត្យភាពអាស្រ័យនៃកម្មវិធីជំនួយ Maven:

mvn org.owasp:dependency-check-maven:check

ជាលទ្ធផល dependency-check-report.html នឹងបង្ហាញនៅក្នុងថតគោលដៅ។

តោះបើកឯកសារ។ បន្ទាប់ពីព័ត៌មានសង្ខេបអំពីចំនួនភាពងាយរងគ្រោះសរុប យើងអាចឃើញព័ត៌មានអំពីភាពងាយរងគ្រោះជាមួយនឹងកម្រិតនៃភាពធ្ងន់ធ្ងរ និងទំនុកចិត្តខ្ពស់ ដោយបង្ហាញពីកញ្ចប់ CPE និងចំនួន CVEs ។

បន្ទាប់មានព័ត៌មានលម្អិតបន្ថែមទៀត ជាពិសេសមូលដ្ឋានដែលការសម្រេចចិត្តត្រូវបានធ្វើឡើង (ភស្តុតាង) នោះគឺជា BOM ជាក់លាក់មួយ។

បន្ទាប់មកការពិពណ៌នា CPE, PURL និង CVE ។ ដោយវិធីនេះ អនុសាសន៍សម្រាប់ការកែតម្រូវមិនត្រូវបានរាប់បញ្ចូលទេ ដោយសារអវត្តមានរបស់វានៅក្នុងមូលដ្ឋានទិន្នន័យ NVD ។

ដើម្បីមើលលទ្ធផលស្កែនជាប្រព័ន្ធ អ្នកអាចកំណត់រចនាសម្ព័ន្ធ Nginx ជាមួយនឹងការកំណត់តិចតួចបំផុត ឬផ្ញើលទ្ធផលលទ្ធផលទៅប្រព័ន្ធគ្រប់គ្រងពិការភាពដែលគាំទ្រឧបករណ៍ភ្ជាប់ទៅការត្រួតពិនិត្យភាពអាស្រ័យ។ ឧទាហរណ៍ Defect Dojo ។

បទអាស្រ័យ

ការកំណត់

ម៉្យាងវិញទៀត Dependency Track គឺជាវេទិកាដែលមានមូលដ្ឋានលើបណ្តាញដែលមានក្រាហ្វបង្ហាញ ដូច្នេះបញ្ហាសង្កត់នៃការរក្សាទុកពិការភាពនៅក្នុងដំណោះស្រាយភាគីទីបីមិនកើតឡើងនៅទីនេះទេ។
ស្គ្រីបដែលគាំទ្រសម្រាប់ការដំឡើងគឺ៖ Docker, WAR, Executable WAR ។

ចាប់ផ្តើមជាលើកដំបូង

យើងចូលទៅកាន់ URL នៃសេវាកម្មដែលកំពុងដំណើរការ។ យើងចូលតាមរយៈ admin/admin ផ្លាស់ប្តូរការចូល និងពាក្យសម្ងាត់ ហើយបន្ទាប់មកចូលទៅកាន់ផ្ទាំងគ្រប់គ្រង។ រឿងបន្ទាប់ដែលយើងនឹងធ្វើគឺបង្កើតគម្រោងសម្រាប់កម្មវិធីសាកល្បងនៅក្នុង Java in ទំព័រដើម/គម្រោង → បង្កើតគម្រោង . ចូរយក DVJA ជាឧទាហរណ៍។

ដោយសារតែបទអាស្រ័យអាចទទួលយកបានតែ BOM ជាការបញ្ចូល BOM នេះត្រូវតែទៅយក។ តោះទាញយកប្រយោជន៍ កម្មវិធីជំនួយ CycloneDX Maven:

mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom

យើងទទួលបាន bom.xml ហើយផ្ទុកឯកសារនៅក្នុងគម្រោងដែលបានបង្កើត DVJA → ភាពអាស្រ័យ → ផ្ទុកឡើង BOM.

តោះទៅ រដ្ឋបាល → អ្នកវិភាគ។ យើង​យល់​ថា​យើង​មាន​តែ​អ្នក​វិភាគ​ខាងក្នុង​ដែល​បាន​បើក​ប៉ុណ្ណោះ ដែល​រួម​មាន NVD ។ ចូរយើងភ្ជាប់ Sonatype OSS Index ផងដែរ។

ដូច្នេះ យើងទទួលបានរូបភាពខាងក្រោមសម្រាប់គម្រោងរបស់យើង៖

នៅក្នុងបញ្ជីផងដែរ អ្នកអាចរកឃើញភាពងាយរងគ្រោះមួយដែលអាចអនុវត្តបានចំពោះ Sonatype OSS៖

ការខកចិត្តចម្បងគឺថា Dependency Track លែងទទួលយករបាយការណ៍ Dependency Check xml ទៀតហើយ។ កំណែដែលគាំទ្រចុងក្រោយបំផុតនៃការរួមបញ្ចូលការត្រួតពិនិត្យភាពអាស្រ័យគឺ 1.0.0 - 4.0.2 ខណៈពេលដែលខ្ញុំបានសាកល្បង 5.3.2 ។

នៅទីនេះ видео (និង មើលចុះ) នៅពេលដែលវានៅតែអាចធ្វើទៅបាន។

Nexus IQ

ចាប់ផ្តើមជាលើកដំបូង

ការដំឡើង Nexus IQ បានមកពីបណ្ណសាររបស់ ឯកសារប៉ុន្តែយើងបានបង្កើតរូបភាព Docker សម្រាប់គោលបំណងទាំងនេះ។

បន្ទាប់ពីចូលទៅក្នុងកុងសូល អ្នកត្រូវបង្កើតអង្គការ និងកម្មវិធី។

ដូចដែលអ្នកអាចមើលឃើញ ការរៀបចំក្នុងករណី IQ មានភាពស្មុគ្រស្មាញជាងនេះបន្តិច ព្រោះយើងក៏ត្រូវបង្កើតគោលការណ៍ដែលអាចអនុវត្តបានសម្រាប់ "ដំណាក់កាល" ផ្សេងៗគ្នា (dev, build, stage, release)។ នេះគឺចាំបាច់ដើម្បីទប់ស្កាត់សមាសធាតុដែលងាយរងគ្រោះ នៅពេលដែលពួកវាផ្លាស់ទីតាមបំពង់កាន់តែខិតទៅជិតការផលិត ឬទប់ស្កាត់ពួកវាភ្លាមៗនៅពេលដែលពួកគេចូលទៅក្នុង Nexus Repo នៅពេលដែលអ្នកអភិវឌ្ឍន៍ត្រូវបានទាញយក។

ដើម្បីមានអារម្មណ៍ថាមានភាពខុសគ្នារវាងប្រភពបើកចំហ និងសហគ្រាស សូមធ្វើការស្កេនដូចគ្នាតាមរយៈ Nexus IQ តាមរបៀបដូចគ្នា។ កម្មវិធីជំនួយ Mavenដោយបានបង្កើតកម្មវិធីសាកល្បងពីមុននៅក្នុងចំណុចប្រទាក់ NexusIQ dvja-test-and-compare:

mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>

អនុវត្តតាម URL ទៅកាន់របាយការណ៍ដែលបានបង្កើតនៅក្នុងចំណុចប្រទាក់បណ្ដាញ IQ៖

នៅទីនេះអ្នកអាចមើលឃើញការបំពានគោលការណ៍ទាំងអស់ដែលបង្ហាញពីកម្រិតសារៈសំខាន់ផ្សេងៗគ្នា (ពីព័ត៌មានរហូតដល់សុវត្ថិភាពសំខាន់)។ អក្សរ D នៅជាប់នឹងសមាសភាគ មានន័យថា សមាសធាតុគឺអាស្រ័យដោយផ្ទាល់ ហើយអក្សរ T នៅជាប់នឹងសមាសភាគ មានន័យថា សមាសភាគគឺការអាស្រ័យឆ្លងកាត់ ពោលគឺវាជាអន្តរកាល។

ដោយវិធីនេះរបាយការណ៍ ស្ថានភាពនៃរបាយការណ៍សុវត្ថិភាពប្រភពបើកចំហឆ្នាំ 2020 ពី Snyk រាយការណ៍ថា ភាពងាយរងគ្រោះជាង 70% នៃប្រភពបើកចំហដែលបានរកឃើញនៅក្នុង Node.js, Java និង Ruby គឺស្ថិតនៅក្នុងភាពអាស្រ័យអន្តរកាល។

ប្រសិនបើយើងបើកការបំពានគោលការណ៍ Nexus IQ ណាមួយនោះ យើងអាចឃើញការពិពណ៌នាអំពីសមាសភាគ ក៏ដូចជា Version Graph ដែលបង្ហាញទីតាំងនៃកំណែបច្ចុប្បន្ននៅក្នុងក្រាហ្វពេលវេលា ក៏ដូចជានៅចំនុចណាដែលភាពងាយរងគ្រោះឈប់ដំណើរការ។ ងាយរងគ្រោះ។ កម្ពស់នៃទៀននៅលើក្រាហ្វបង្ហាញពីភាពពេញនិយមនៃការប្រើប្រាស់សមាសធាតុនេះ។

ប្រសិនបើអ្នកចូលទៅកាន់ផ្នែកភាពងាយរងគ្រោះ និងពង្រីក CVE អ្នកអាចអានការពិពណ៌នាអំពីភាពងាយរងគ្រោះនេះ ការណែនាំសម្រាប់ការលុបបំបាត់ ក៏ដូចជាមូលហេតុដែលសមាសធាតុនេះត្រូវបានបំពាន នោះគឺជាវត្តមានរបស់ថ្នាក់។ DiskFileitem.class.

ចូរ​សង្ខេប​តែ​ផ្នែក​ដែល​ទាក់ទង​ទៅ​នឹង​សមាសភាគ Java ភាគី​ទីបី ដោយ​យក​សមាសធាតុ js ចេញ។ នៅក្នុងវង់ក្រចក យើងបង្ហាញពីចំនួននៃភាពងាយរងគ្រោះដែលត្រូវបានរកឃើញនៅខាងក្រៅ NVD ។

Nexus IQ សរុប៖

• ភាពអាស្រ័យដែលបានស្កេន៖ ៦២
• ភាពអាស្រ័យដែលងាយរងគ្រោះ៖ ១៦
• ភាពងាយរងគ្រោះត្រូវបានរកឃើញ៖ 42 (8 sonatype db)

ការត្រួតពិនិត្យភាពអាស្រ័យសរុប៖

• ភាពអាស្រ័យដែលបានស្កេន៖ ៦២
• ភាពអាស្រ័យដែលងាយរងគ្រោះ៖ ១៦
• ភាពងាយរងគ្រោះត្រូវបានរកឃើញ៖ 91 (14 sonatype oss)

បទ​ដែល​អាស្រ័យ​សរុប៖

• ភាពអាស្រ័យដែលបានស្កេន៖ ៥៩
• ភាពអាស្រ័យដែលងាយរងគ្រោះ៖ ១៦
• ភាពងាយរងគ្រោះត្រូវបានរកឃើញ៖ 51 (1 sonatype oss)

នៅជំហានបន្ទាប់ យើងនឹងវិភាគលទ្ធផលដែលទទួលបាន និងរកឱ្យឃើញថាតើភាពងាយរងគ្រោះណាមួយជាពិការភាពពិតប្រាកដ និងមួយណាជាវិជ្ជមានមិនពិត។

អេស

ការពិនិត្យឡើងវិញនេះមិនមែនជាការពិតដែលមិនអាចប្រកែកបានទេ។ អ្នកនិពន្ធមិនមានគោលដៅដើម្បីរំលេចឧបករណ៍ដាច់ដោយឡែកមួយប្រឆាំងនឹងផ្ទៃខាងក្រោយរបស់អ្នកដទៃទេ។ គោលបំណងនៃការត្រួតពិនិត្យគឺដើម្បីបង្ហាញពីយន្តការនៃប្រតិបត្តិការនៃឧបករណ៍ SCA និងវិធីដើម្បីពិនិត្យមើលលទ្ធផលរបស់ពួកគេ។

ការប្រៀបធៀបលទ្ធផល

Условия:

ភាពវិជ្ជមានមិនពិតសម្រាប់ភាពងាយរងគ្រោះនៃសមាសភាគភាគីទីបីគឺ៖

• CVE មិនស៊ីគ្នានឹងសមាសធាតុដែលបានកំណត់
• ឧទាហរណ៍ ប្រសិនបើភាពងាយរងគ្រោះត្រូវបានកំណត់នៅក្នុងក្របខ័ណ្ឌ struts2 ហើយឧបករណ៍ចង្អុលទៅធាតុផ្សំនៃក្របខ័ណ្ឌ struts-tiles ដែលភាពងាយរងគ្រោះនេះមិនត្រូវបានអនុវត្ត នោះនេះគឺជាវិជ្ជមានមិនពិត
• CVE មិនត្រូវគ្នានឹងកំណែដែលបានកំណត់អត្តសញ្ញាណនៃសមាសភាគ
• ឧទាហរណ៍ ភាពងាយរងគ្រោះត្រូវបានភ្ជាប់ទៅកំណែ python > 3.5 ហើយឧបករណ៍សម្គាល់កំណែ 2.7 ថាងាយរងគ្រោះ - នេះគឺជាភាពវិជ្ជមានមិនពិត ព្រោះតាមពិត ភាពងាយរងគ្រោះអនុវត្តចំពោះសាខាផលិតផល 3.x ប៉ុណ្ណោះ។
• ស្ទួន CVE
• ឧទាហរណ៍ ប្រសិនបើ SCA បញ្ជាក់ CVE ដែលបើក RCE នោះ SCA បញ្ជាក់ CVE សម្រាប់សមាសភាគដូចគ្នានោះ ដែលអនុវត្តចំពោះផលិតផល Cisco ដែលរងផលប៉ះពាល់ដោយ RCE នោះ។ ក្នុងករណីនេះវានឹងក្លាយជាវិជ្ជមានមិនពិត។
• ជាឧទាហរណ៍ CVE ត្រូវបានរកឃើញនៅក្នុងសមាសធាតុ spring-web បន្ទាប់ពីនោះ SCA ចង្អុលទៅ CVE ដូចគ្នានៅក្នុងសមាសធាតុផ្សេងទៀតនៃ Spring Framework ខណៈពេលដែល CVE មិនមានអ្វីដែលត្រូវធ្វើជាមួយសមាសភាគផ្សេងទៀត។ ក្នុងករណីនេះវានឹងក្លាយជាវិជ្ជមានមិនពិត។

កម្មវត្ថុនៃការសិក្សាគឺគម្រោងប្រភពបើកចំហ DVJA ។ ការសិក្សានេះពាក់ព័ន្ធតែ java components (ដោយគ្មាន js)។

លទ្ធផលសង្ខេប

ចូរយើងបន្តទៅលទ្ធផលនៃការត្រួតពិនិត្យដោយដៃអំពីភាពងាយរងគ្រោះដែលបានកំណត់អត្តសញ្ញាណ។ របាយការណ៍ពេញលេញសម្រាប់ CVE នីមួយៗអាចរកបាននៅក្នុងឧបសម្ព័ន្ធ។

លទ្ធផលសង្ខេបសម្រាប់ភាពងាយរងគ្រោះទាំងអស់៖

ប៉ារ៉ាម៉ែត្រ
Nexus IQ
ការត្រួតពិនិត្យភាពអាស្រ័យ
បទអាស្រ័យ

ភាពងាយរងគ្រោះសរុបត្រូវបានសម្គាល់
42
91
51

ភាពងាយរងគ្រោះដែលបានកំណត់អត្តសញ្ញាណមិនត្រឹមត្រូវ (វិជ្ជមានក្លែងក្លាយ)
2 (4.76%)
62 (68,13%)
29 (56.86%)

រកមិនឃើញភាពងាយរងគ្រោះដែលពាក់ព័ន្ធ (មិនពិតអវិជ្ជមាន)
10
20
27

លទ្ធផលសង្ខេបដោយសមាសធាតុ៖

ប៉ារ៉ាម៉ែត្រ
Nexus IQ
ការត្រួតពិនិត្យភាពអាស្រ័យ
បទអាស្រ័យ

សមាសធាតុសរុបត្រូវបានកំណត់
62
47
59

សមាសធាតុងាយរងគ្រោះសរុប
16
13
10

សមាសធាតុងាយរងគ្រោះដែលបានកំណត់អត្តសញ្ញាណមិនត្រឹមត្រូវ (វិជ្ជមានមិនពិត)
1
5
0

សមាសធាតុងាយរងគ្រោះដែលបានកំណត់អត្តសញ្ញាណមិនត្រឹមត្រូវ (វិជ្ជមានមិនពិត)
0
6
6

ចូរយើងបង្កើតក្រាហ្វដែលមើលឃើញ ដើម្បីវាយតម្លៃសមាមាត្រនៃភាពវិជ្ជមានមិនពិត និងអវិជ្ជមានមិនពិតទៅនឹងចំនួនសរុបនៃភាពងាយរងគ្រោះ។ សមាសធាតុត្រូវបានសម្គាល់ដោយផ្ដេក ហើយភាពងាយរងគ្រោះដែលត្រូវបានកំណត់នៅក្នុងពួកវាត្រូវបានសម្គាល់បញ្ឈរ។

សម្រាប់ការប្រៀបធៀប ការសិក្សាស្រដៀងគ្នានេះត្រូវបានធ្វើឡើងដោយក្រុម Sonatype សាកល្បងគម្រោងនៃសមាសធាតុ 1531 ដោយប្រើ OWASP Dependency Check ។ ដូចដែលយើងអាចមើលឃើញ សមាមាត្រនៃសំលេងរំខានចំពោះការឆ្លើយតបត្រឹមត្រូវគឺអាចប្រៀបធៀបទៅនឹងលទ្ធផលរបស់យើង។

ប្រភព: www.sonatype.com/why-precision-matters-ebook

សូមក្រឡេកមើល CVEs មួយចំនួនពីលទ្ធផលស្កេនរបស់យើង ដើម្បីយល់ពីមូលហេតុនៃលទ្ធផលទាំងនេះ។

ច្រើនទៀត

លេខ

សូមក្រឡេកមើលចំណុចគួរឱ្យចាប់អារម្មណ៍មួយចំនួនអំពី Sonatype Nexus IQ ជាដំបូង។

Nexus IQ ចង្អុល​បង្ហាញ​បញ្ហា​មួយ​ជាមួយ​នឹង​ការ​បំភាន់​ភ្នែក​ជាមួយ​នឹង​សមត្ថភាព​ក្នុង​ការ​អនុវត្ត RCE ក្នុង Spring Framework ច្រើន​ដង។ CVE-2016-1000027 នៅក្នុង spring-web: 3.0.5 first time, and CVE-2011-2894 in spring-context: 3.0.5 និង spring-core: 3.0.5. ដំបូង វាបង្ហាញថាមានការចម្លងភាពងាយរងគ្រោះនៅទូទាំង CVEs ច្រើន។ ដោយសារតែប្រសិនបើអ្នកក្រឡេកមើល CVE-2016-1000027 និង CVE-2011-2894 នៅក្នុងមូលដ្ឋានទិន្នន័យ NVD វាហាក់ដូចជាអ្វីៗទាំងអស់ច្បាស់

សមាសភាគ
ភាពងាយរងគ្រោះ

គេហទំព័រនិទាឃរដូវ៖ ៣.០.៥
CVE-2016-1000027

បរិបទនិទាឃរដូវ៖ ៣.០.៥
CVE-2011-2894

ស្នូលនិទាឃរដូវ៖ ៣.០.៥
CVE-2011-2894

បរិយាយ CVE-2011-2894 ពី NVD:


បរិយាយ CVE-2016-1000027 ពី NVD:


CVE-2011-2894 ខ្លួនវាល្បីល្បាញណាស់។ នៅក្នុងរបាយការណ៍ ប្រភពពណ៌ស 2011 CVE នេះត្រូវបានទទួលស្គាល់ថាជារឿងធម្មតាបំផុត។ ការពិពណ៌នាសម្រាប់ CVE-2016-100027 ជាគោលការណ៍មានតិចតួចនៅក្នុង NVD ហើយវាហាក់ដូចជាអាចអនុវត្តបានសម្រាប់តែ Spring Framework 4.1.4 ប៉ុណ្ណោះ។ តោះមើលទាំងអស់គ្នា ឯកសារយោង ហើយនៅទីនេះអ្វីៗទាំងអស់កាន់តែច្បាស់។ ពី អត្ថបទដែលអាចបត់បែនបាន។ យើងយល់ថា បន្ថែមពីលើភាពងាយរងគ្រោះនៅក្នុង RemoteInvocationSerializingExporter នៅក្នុង CVE-2011-2894 ភាពងាយរងគ្រោះត្រូវបានអង្កេតនៅក្នុង HttpInvokerServiceExporter. នេះជាអ្វីដែល Nexus IQ ប្រាប់យើង៖

ទោះយ៉ាងណាក៏ដោយ មិនមានអ្វីដូចនេះនៅក្នុង NVD ទេ ដែលនេះជាមូលហេតុដែលការត្រួតពិនិត្យភាពអាស្រ័យ និងតាមដានភាពអាស្រ័យនីមួយៗទទួលបានអវិជ្ជមានមិនពិត។

ផងដែរពីការពិពណ៌នានៃ CVE-2011-2894 វាអាចយល់បានថាភាពងាយរងគ្រោះគឺពិតជាមានវត្តមាននៅក្នុងបរិបទនិទាឃរដូវ: 3.0.5 និងស្នូលនិទាឃរដូវ: 3.0.5 ។ ការបញ្ជាក់អំពីបញ្ហានេះអាចត្រូវបានរកឃើញនៅក្នុងអត្ថបទមួយពីអ្នកដែលបានរកឃើញភាពងាយរងគ្រោះនេះ។

លេខ

សមាសភាគ
ភាពងាយរងគ្រោះ
លទ្ធផល

struts2-core: 2.3.30
CVE-2016-4003
មិនពិត

ប្រសិនបើយើងសិក្សាពីភាពងាយរងគ្រោះ CVE-2016-4003 យើងនឹងយល់ថាវាត្រូវបានជួសជុលនៅក្នុងកំណែ 2.3.28 ទោះជាយ៉ាងណាក៏ដោយ Nexus IQ រាយការណ៍មកយើង។ មានកំណត់សម្គាល់នៅក្នុងការពិពណ៌នាអំពីភាពងាយរងគ្រោះ៖

នោះគឺ ភាពងាយរងគ្រោះមានតែនៅក្នុងការភ្ជាប់ជាមួយកំណែហួសសម័យនៃ JRE ដែលពួកគេសម្រេចចិត្តព្រមានយើង។ យ៉ាង​ណា​ក៏​ដោយ យើង​ចាត់​ទុក​ False Positive នេះ ទោះ​បី​ជា​មិន​អាក្រក់​បំផុត​ក៏​ដោយ។

№ ១១១

សមាសភាគ
ភាពងាយរងគ្រោះ
លទ្ធផល

xwork-core៖ 2.3.30
CVE-2017-9804
ពិត

xwork-core៖ 2.3.30
CVE-2017-7672
មិនពិត

ប្រសិនបើយើងក្រឡេកមើលការពិពណ៌នានៃ CVE-2017-9804 និង CVE-2017-7672 យើងនឹងយល់ថាបញ្ហាគឺ URLValidator classដោយមាន CVE-2017-9804 ដើមពី CVE-2017-7672 ។ វត្តមាននៃភាពងាយរងគ្រោះទីពីរមិនផ្ទុកបន្ទុកដែលមានប្រយោជន៍ក្រៅពីការពិតដែលថាភាពធ្ងន់ធ្ងររបស់វាបានកើនឡើងដល់កម្រិតខ្ពស់ ដូច្នេះយើងអាចចាត់ទុកថាវាជាសំលេងរំខានដែលមិនចាំបាច់។

សរុបមក គ្មានភាពវិជ្ជមានមិនពិតផ្សេងទៀតត្រូវបានរកឃើញសម្រាប់ Nexus IQ ទេ។

លេខ

មានចំណុចមួយចំនួនដែលធ្វើឱ្យ IQ លេចធ្លោចេញពីដំណោះស្រាយផ្សេងទៀត។

សមាសភាគ
ភាពងាយរងគ្រោះ
លទ្ធផល

គេហទំព័រនិទាឃរដូវ៖ ៣.០.៥
CVE-2020-5398
ពិត

CVE នៅក្នុង NVD ចែងថាវាអនុវត្តតែចំពោះកំណែ 5.2.x មុន 5.2.3, 5.1.x មុន 5.1.13 និងកំណែ 5.0.x មុន 5.0.16 ទោះជាយ៉ាងណាក៏ដោយ ប្រសិនបើយើងមើលការពិពណ៌នា CVE នៅក្នុង Nexus IQ នោះយើងនឹងឃើញដូចខាងក្រោម៖
សេចក្តីជូនដំណឹងអំពីគម្លាតនៃការប្រឹក្សា៖ ក្រុមស្រាវជ្រាវសុវត្ថិភាព Sonatype បានរកឃើញថាភាពងាយរងគ្រោះនេះត្រូវបានណែនាំនៅក្នុងកំណែ 3.0.2.RELEASE និងមិនមែន 5.0.x ដូចមានចែងក្នុងការណែនាំនោះទេ។

នេះត្រូវបានបន្តដោយ PoC សម្រាប់ភាពងាយរងគ្រោះនេះ ដែលបញ្ជាក់ថាវាមានវត្តមាននៅក្នុងកំណែ 3.0.5 ។

អវិជ្ជមានមិនពិតត្រូវបានផ្ញើទៅកាន់ការត្រួតពិនិត្យភាពអាស្រ័យ និងតាមដានភាពអាស្រ័យ។

លេខ

សូមក្រឡេកមើលភាពវិជ្ជមានមិនពិតសម្រាប់ការត្រួតពិនិត្យភាពអាស្រ័យ និងតាមដានភាពអាស្រ័យ។

Dependency Check មានភាពលេចធ្លោដែលវាឆ្លុះបញ្ចាំងពី CVEs ទាំងនោះដែលអនុវត្តចំពោះក្របខ័ណ្ឌទាំងមូលនៅក្នុង NVD ចំពោះសមាសធាតុដែល CVEs ទាំងនេះមិនអនុវត្ត។ នេះទាក់ទងនឹង CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016-1182 ការត្រួតពិនិត្យឡើង “ដែលអាស្រ័យ ” ទៅ struts-taglib: 1.3.8 និង struts-tiles-1.3.8 ។ សមាសធាតុទាំងនេះមិនមានពាក់ព័ន្ធនឹងអ្វីដែលបានពិពណ៌នានៅក្នុង CVE នោះទេ - ដំណើរការស្នើសុំ សុពលភាពទំព័រ និងអ្វីៗផ្សេងទៀត។ នេះគឺដោយសារតែការពិតដែលថា CVEs និងសមាសធាតុទាំងនេះមានដូចគ្នាគឺគ្រាន់តែជាក្របខ័ណ្ឌប៉ុណ្ណោះ ដែលជាមូលហេតុដែល Dependency Check ចាត់ទុកថាវាជាភាពងាយរងគ្រោះ។

ស្ថានភាពដូចគ្នាគឺជាមួយ spring-tx:3.0.5 និងស្ថានភាពស្រដៀងគ្នាជាមួយ struts-core:1.3.8។ សម្រាប់ struts-core, Dependency Check និង Dependency Track បានរកឃើញភាពងាយរងគ្រោះជាច្រើន ដែលពិតជាអាចអនុវត្តបានចំពោះ struts2-core ដែលជាក្របខ័ណ្ឌដាច់ដោយឡែកមួយ។ ក្នុងករណីនេះ Nexus IQ បានយល់យ៉ាងច្បាស់នូវរូបភាព ហើយនៅក្នុង CVEs ដែលវាបានចេញ វាបង្ហាញថា struts-core បានឈានដល់ទីបញ្ចប់នៃជីវិត ហើយវាចាំបាច់ក្នុងការផ្លាស់ទីទៅ struts2-core ។

លេខ

នៅក្នុងស្ថានភាពខ្លះ វាមិនយុត្តិធម៌ទេក្នុងការបកស្រាយកំហុសនៃការត្រួតពិនិត្យភាពអាស្រ័យ និងតាមដានភាពអាស្រ័យជាក់ស្តែង។ ជាពិសេស CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014-0225 ដែលពិនិត្យភាពអាស្រ័យ និងតាមដាន សន្មតថាជាស្នូលនិទាឃរដូវ: 3.0.5 តាមពិតជាកម្មសិទ្ធិរបស់គេហទំព័រនិទាឃរដូវ: 3.0.5 ។ ក្នុងពេលជាមួយគ្នានេះដែរ CVEs ទាំងនេះមួយចំនួនក៏ត្រូវបានរកឃើញដោយ Nexus IQ ផងដែរ ទោះជាយ៉ាងណាក៏ដោយ IQ បានកំណត់អត្តសញ្ញាណពួកវាយ៉ាងត្រឹមត្រូវទៅនឹងសមាសធាតុមួយផ្សេងទៀត។ ដោយសារតែភាពងាយរងគ្រោះទាំងនេះមិនត្រូវបានរកឃើញនៅក្នុង Spring-core វាមិនអាចប្រកែកបានថាពួកគេមិនស្ថិតនៅក្នុងក្របខ័ណ្ឌជាគោលការណ៍ ហើយឧបករណ៍ប្រភពបើកចំហបានចង្អុលបង្ហាញយ៉ាងត្រឹមត្រូវនូវភាពងាយរងគ្រោះទាំងនេះ (ពួកគេគ្រាន់តែខកខានបន្តិចបន្តួចប៉ុណ្ណោះ)។

ការរកឃើញ

ដូចដែលយើងអាចមើលឃើញ ការកំណត់ភាពអាចជឿជាក់បាននៃភាពងាយរងគ្រោះដែលបានកំណត់ដោយការពិនិត្យឡើងវិញដោយដៃមិនផ្តល់លទ្ធផលមិនច្បាស់លាស់ ដែលជាមូលហេតុដែលបញ្ហាចម្រូងចម្រាសកើតឡើង។ លទ្ធផលគឺថាដំណោះស្រាយ Nexus IQ មានអត្រាវិជ្ជមានមិនពិតទាបបំផុត និងភាពត្រឹមត្រូវខ្ពស់បំផុត។

ជាដំបូង នេះគឺដោយសារតែក្រុម Sonatype បានពង្រីកការពិពណ៌នាសម្រាប់ភាពងាយរងគ្រោះ CVE នីមួយៗពី NVD នៅក្នុងមូលដ្ឋានទិន្នន័យរបស់វា ដោយបង្ហាញពីភាពងាយរងគ្រោះសម្រាប់កំណែជាក់លាក់នៃសមាសធាតុចុះក្រោមដល់ថ្នាក់ ឬមុខងារ ធ្វើការស្រាវជ្រាវបន្ថែម (ឧទាហរណ៍ ពិនិត្យភាពងាយរងគ្រោះនៅលើកំណែកម្មវិធីចាស់)។

ឥទ្ធិពលដ៏សំខាន់លើលទ្ធផលក៏ត្រូវបានលេងដោយភាពងាយរងគ្រោះទាំងនោះដែលមិនត្រូវបានរួមបញ្ចូលនៅក្នុង NVD ដែរ ប៉ុន្តែទោះជាយ៉ាងណាមានវត្តមាននៅក្នុងមូលដ្ឋានទិន្នន័យ Sonatype ដែលមានសញ្ញាសម្គាល់ SONATYPE។ នេះ​បើ​តាម​របាយការណ៍ ស្ថានភាពនៃភាពងាយរងគ្រោះសុវត្ថិភាពប្រភពបើកចំហ 2020 45% នៃភាពងាយរងគ្រោះប្រភពបើកចំហដែលបានរកឃើញមិនត្រូវបានរាយការណ៍ទៅ NVD ទេ។ យោងតាមមូលដ្ឋានទិន្នន័យ WhiteSource មានតែ 29% នៃភាពងាយរងគ្រោះនៃប្រភពបើកចំហទាំងអស់ដែលត្រូវបានរាយការណ៍នៅខាងក្រៅ NVD បានបញ្ចប់ការបោះពុម្ពនៅទីនោះ ដែលជាមូលហេតុដែលវាមានសារៈសំខាន់ក្នុងការស្វែងរកភាពងាយរងគ្រោះនៅក្នុងប្រភពផ្សេងទៀតផងដែរ។

ជាលទ្ធផល Dependency Check បង្កើតសំលេងរំខានជាច្រើន ដោយបាត់សមាសធាតុដែលងាយរងគ្រោះមួយចំនួន។ Dependency Track បង្កើតសំលេងរំខានតិច និងរកឃើញសមាសធាតុមួយចំនួនធំ ដែលមិនប៉ះពាល់ដល់ភ្នែកនៅក្នុងចំណុចប្រទាក់គេហទំព័រ។

ទោះជាយ៉ាងណាក៏ដោយ ការអនុវត្តបង្ហាញថាប្រភពបើកចំហគួរតែក្លាយជាជំហានដំបូងឆ្ពោះទៅរក DevSecOps ចាស់ទុំ។ រឿងដំបូងដែលអ្នកគួរគិតនៅពេលរួមបញ្ចូល SCA ទៅក្នុងការអភិវឌ្ឍន៍គឺជាដំណើរការ ពោលគឺការគិតរួមគ្នាជាមួយផ្នែកគ្រប់គ្រង និងនាយកដ្ឋានពាក់ព័ន្ធអំពីដំណើរការដ៏ល្អគួរតែមើលទៅដូចនៅក្នុងស្ថាប័នរបស់អ្នក។ វាអាចប្រែថាសម្រាប់ស្ថាប័នរបស់អ្នកដំបូង ការត្រួតពិនិត្យភាពអាស្រ័យ ឬតាមដានភាពអាស្រ័យនឹងគ្របដណ្តប់លើតម្រូវការអាជីវកម្មទាំងអស់ ហើយដំណោះស្រាយសហគ្រាសនឹងមានការបន្តឡូជីខលដោយសារតែភាពស្មុគស្មាញកាន់តែច្រើនឡើងនៃកម្មវិធីដែលកំពុងត្រូវបានបង្កើតឡើង។

ឧបសម្ព័ន្ធ A៖ លទ្ធផលសមាសធាតុ
តាង:

• ភាពងាយរងគ្រោះកម្រិតខ្ពស់ និងកម្រិតសំខាន់នៅក្នុងសមាសធាតុ
• មធ្យម - ភាពងាយរងគ្រោះនៃកម្រិតរិះគន់មធ្យមនៅក្នុងសមាសធាតុ
• TRUE - បញ្ហាវិជ្ជមានពិតប្រាកដ
• FALSE - បញ្ហាវិជ្ជមានមិនពិត

សមាសភាគ
Nexus IQ
ការត្រួតពិនិត្យភាពអាស្រ័យ
បទអាស្រ័យ
លទ្ធផល

dom4j: 1.6.1
ខ្ពស់
ខ្ពស់
ខ្ពស់
ពិត

log4j-core៖ ២.៣
ខ្ពស់
ខ្ពស់
ខ្ពស់
ពិត

log4j: 1.2.14
ខ្ពស់
ខ្ពស់
-
ពិត

ការប្រមូលទូទៅ៖ ៣.១
ខ្ពស់
ខ្ពស់
ខ្ពស់
ពិត

commons-fileupload:1.3.2
ខ្ពស់
ខ្ពស់
ខ្ពស់
ពិត

គ្រាប់សណ្តែកធម្មតា៖ ១.៧.០
ខ្ពស់
ខ្ពស់
ខ្ពស់
ពិត

កូឌិកទូទៅ៖ ១:១០
មធ្យម
-
-
ពិត

mysql-connector-java:5.1.42
ខ្ពស់
ខ្ពស់
ខ្ពស់
ពិត

កន្សោមនិទាឃរដូវ៖ ៣.០.៥
ខ្ពស់
រកមិនឃើញសមាសធាតុ

ពិត

គេហទំព័រនិទាឃរដូវ៖ ៣.០.៥
ខ្ពស់
រកមិនឃើញសមាសធាតុ
ខ្ពស់
ពិត

បរិបទនិទាឃរដូវ៖ ៣.០.៥
មធ្យម
រកមិនឃើញសមាសធាតុ
-
ពិត

ស្នូលនិទាឃរដូវ៖ ៣.០.៥
មធ្យម
ខ្ពស់
ខ្ពស់
ពិត

struts2-config-browser-plugin៖ 2.3.30
មធ្យម
-
-
ពិត

spring-tx: 3.0.5
-
ខ្ពស់
-
មិនពិត

ស្នូលស្នូល៖ ១.៣.៨
ខ្ពស់
ខ្ពស់
ខ្ពស់
ពិត

xwork-core៖ 2.3.30
ខ្ពស់
-
-
ពិត

struts2-core: 2.3.30
ខ្ពស់
ខ្ពស់
ខ្ពស់
ពិត

struts-taglib: 1.3.8
-
ខ្ពស់
-
មិនពិត

struts-tiles-1.3.8
-
ខ្ពស់
-
មិនពិត

ឧបសម្ព័ន្ធ B៖ លទ្ធផលនៃភាពងាយរងគ្រោះ
តាង:

• ភាពងាយរងគ្រោះកម្រិតខ្ពស់ និងកម្រិតសំខាន់នៅក្នុងសមាសធាតុ
• មធ្យម - ភាពងាយរងគ្រោះនៃកម្រិតរិះគន់មធ្យមនៅក្នុងសមាសធាតុ
• TRUE - បញ្ហាវិជ្ជមានពិតប្រាកដ
• FALSE - បញ្ហាវិជ្ជមានមិនពិត

សមាសភាគ
Nexus IQ
ការត្រួតពិនិត្យភាពអាស្រ័យ
បទអាស្រ័យ
ភាពធ្ងន់ធ្ងរ
លទ្ធផល
ការអត្ថាធិប្បាយ

dom4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
ខ្ពស់
ពិត

CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
ខ្ពស់
ពិត

log4j-core៖ ២.៣
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
ខ្ពស់
ពិត

CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
ទាប
ពិត

log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
ខ្ពស់
ពិត

-
CVE-2020-9488
-
ទាប
ពិត

SONATYPE-2010-0053
-
-
ខ្ពស់
ពិត

ការប្រមូលទូទៅ៖ ៣.១
-
CVE-2015-6420
CVE-2015-6420
ខ្ពស់
មិនពិត
ស្ទួន RCE(OSSINDEX)

-
CVE-2017-15708
CVE-2017-15708
ខ្ពស់
មិនពិត
ស្ទួន RCE(OSSINDEX)

SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
ខ្ពស់
ពិត

commons-fileupload:1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
ខ្ពស់
ពិត

SONATYPE-2014-0173
-
-
មធ្យម
ពិត

គ្រាប់សណ្តែកធម្មតា៖ ១.៧.០
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
ខ្ពស់
ពិត

-
CVE-2019-10086
CVE-2019-10086
ខ្ពស់
មិនពិត
ភាពងាយរងគ្រោះនេះអនុវត្តចំពោះកំណែ 1.9.2+ ប៉ុណ្ណោះ។

កូឌិកទូទៅ៖ ១:១០
SONATYPE-2012-0050
-
-
មធ្យម
ពិត

mysql-connector-java:5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
ខ្ពស់
ពិត

CVE-2019-2692
CVE-2019-2692
-
មធ្យម
ពិត

-
CVE-2020-2875
-
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះដូចគ្នាទៅនឹង CVE-2019-2692 ប៉ុន្តែជាមួយនឹងកំណត់ត្រា "ការវាយប្រហារអាចប៉ះពាល់យ៉ាងខ្លាំងដល់ផលិតផលបន្ថែម"

-
CVE-2017-15945
-
ខ្ពស់
មិនពិត
មិនពាក់ព័ន្ធនឹង mysql-connector-java

-
CVE-2020-2933
-
ទាប
មិនពិត
ស្ទួននៃ CVE-2020-2934

CVE-2020-2934
CVE-2020-2934
-
មធ្យម
ពិត

កន្សោមនិទាឃរដូវ៖ ៣.០.៥
CVE-2018-1270
រកមិនឃើញសមាសធាតុ
-
ខ្ពស់
ពិត

CVE-2018-1257
-
-
មធ្យម
ពិត

គេហទំព័រនិទាឃរដូវ៖ ៣.០.៥
CVE-2016-1000027
រកមិនឃើញសមាសធាតុ
-
ខ្ពស់
ពិត

CVE-2014-0225
-
CVE-2014-0225
ខ្ពស់
ពិត

CVE-2011-2730
-
-
ខ្ពស់
ពិត

-
-
CVE-2013-4152
មធ្យម
ពិត

CVE-2018-1272
-
-
ខ្ពស់
ពិត

CVE-2020-5398
-
-
ខ្ពស់
ពិត
ឧទាហរណ៍ជាក់ស្តែងសម្រាប់ការពេញចិត្តនៃ IQ៖ "ក្រុមស្រាវជ្រាវសុវត្ថិភាព Sonatype បានរកឃើញថាភាពងាយរងគ្រោះនេះត្រូវបានណែនាំនៅក្នុងកំណែ 3.0.2.RELEASE មិនមែន 5.0.x ដូចមានចែងក្នុងការណែនាំនោះទេ។"

CVE-2013-6429
-
-
មធ្យម
ពិត

CVE-2014-0054
-
CVE-2014-0054
មធ្យម
ពិត

CVE-2013-6430
-
-
មធ្យម
ពិត

បរិបទនិទាឃរដូវ៖ ៣.០.៥
CVE-2011-2894
រកមិនឃើញសមាសធាតុ
-
មធ្យម
ពិត

ស្នូលនិទាឃរដូវ៖ ៣.០.៥
-
CVE-2011-2730
CVE-2011-2730
ខ្ពស់
ពិត

CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
មធ្យម
ពិត

-
-
CVE-2013-4152
មធ្យម
មិនពិត
ស្ទួននៃភាពងាយរងគ្រោះដូចគ្នានៅក្នុង spring-web

-
CVE-2013-4152
-
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះទាក់ទងនឹងសមាសធាតុ spring-web

-
CVE-2013-6429
CVE-2013-6429
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះទាក់ទងនឹងសមាសធាតុ spring-web

-
CVE-2013-6430
-
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះទាក់ទងនឹងសមាសធាតុ spring-web

-
CVE-2013-7315
CVE-2013-7315
មធ្យម
មិនពិត
បំបែកពី CVE-2013-4152 ។ + ភាពងាយរងគ្រោះទាក់ទងនឹងសមាសធាតុ spring-web

-
CVE-2014-0054
CVE-2014-0054
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះទាក់ទងនឹងសមាសធាតុ spring-web

-
CVE-2014-0225
-
ខ្ពស់
មិនពិត
ភាពងាយរងគ្រោះទាក់ទងនឹងសមាសធាតុ spring-web

-
-
CVE-2014-0225
ខ្ពស់
មិនពិត
ស្ទួននៃភាពងាយរងគ្រោះដូចគ្នានៅក្នុង spring-web

-
CVE-2014-1904
CVE-2014-1904
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះទាក់ទងនឹងសមាសធាតុ spring-web-mvc

-
CVE-2014-3625
CVE-2014-3625
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះទាក់ទងនឹងសមាសធាតុ spring-web-mvc

-
CVE-2016-9878
CVE-2016-9878
ខ្ពស់
មិនពិត
ភាពងាយរងគ្រោះទាក់ទងនឹងសមាសធាតុ spring-web-mvc

-
CVE-2018-1270
CVE-2018-1270
ខ្ពស់
មិនពិត
សម្រាប់ការបញ្ចេញមតិនិទាឃរដូវ / និទាឃរដូវ - សារ

-
CVE-2018-1271
CVE-2018-1271
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះទាក់ទងនឹងសមាសធាតុ spring-web-mvc

-
CVE-2018-1272
CVE-2018-1272
ខ្ពស់
ពិត

CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
មធ្យម
ពិត

SONATYPE-2015-0327
-
-
ទាប
ពិត

struts2-config-browser-plugin៖ 2.3.30
SONATYPE-2016-0104
-
-
មធ្យម
ពិត

spring-tx: 3.0.5
-
CVE-2011-2730
-
ខ្ពស់
មិនពិត
ភាពងាយរងគ្រោះមិនជាក់លាក់ចំពោះ spring-tx ទេ។

-
CVE-2011-2894
-
ខ្ពស់
មិនពិត
ភាពងាយរងគ្រោះមិនជាក់លាក់ចំពោះ spring-tx ទេ។

-
CVE-2013-4152
-
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះមិនជាក់លាក់ចំពោះ spring-tx ទេ។

-
CVE-2013-6429
-
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះមិនជាក់លាក់ចំពោះ spring-tx ទេ។

-
CVE-2013-6430
-
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះមិនជាក់លាក់ចំពោះ spring-tx ទេ។

-
CVE-2013-7315
-
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះមិនជាក់លាក់ចំពោះ spring-tx ទេ។

-
CVE-2014-0054
-
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះមិនជាក់លាក់ចំពោះ spring-tx ទេ។

-
CVE-2014-0225
-
ខ្ពស់
មិនពិត
ភាពងាយរងគ្រោះមិនជាក់លាក់ចំពោះ spring-tx ទេ។

-
CVE-2014-1904
-
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះមិនជាក់លាក់ចំពោះ spring-tx ទេ។

-
CVE-2014-3625
-
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះមិនជាក់លាក់ចំពោះ spring-tx ទេ។

-
CVE-2016-9878
-
ខ្ពស់
មិនពិត
ភាពងាយរងគ្រោះមិនជាក់លាក់ចំពោះ spring-tx ទេ។

-
CVE-2018-1270
-
ខ្ពស់
មិនពិត
ភាពងាយរងគ្រោះមិនជាក់លាក់ចំពោះ spring-tx ទេ។

-
CVE-2018-1271
-
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះមិនជាក់លាក់ចំពោះ spring-tx ទេ។

-
CVE-2018-1272
-
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះមិនជាក់លាក់ចំពោះ spring-tx ទេ។

ស្នូលស្នូល៖ ១.៣.៨
-
CVE-2011-5057 (OSSINDEX)

មធ្យម
រហ័ស
ភាពងាយរងគ្រោះចំពោះ Struts 2

-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
ខ្ពស់
មិនពិត
ភាពងាយរងគ្រោះចំពោះ Struts 2

-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះចំពោះ Struts 2

-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
ខ្ពស់
មិនពិត
ភាពងាយរងគ្រោះចំពោះ Struts 2

CVE-2016-1182
3VE-2016-1182
-
ខ្ពស់
ពិត

-
-
CVE-2011-5057
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះចំពោះ Struts 2

-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
ខ្ពស់
មិនពិត
ភាពងាយរងគ្រោះចំពោះ Struts 2

-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះចំពោះ Struts 2

CVE-2015-0899
CVE-2015-0899
-
ខ្ពស់
ពិត

-
CVE-2012-0394
CVE-2012-0394
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះចំពោះ Struts 2

-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
ខ្ពស់
មិនពិត
ភាពងាយរងគ្រោះចំពោះ Struts 2

-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
ខ្ពស់
មិនពិត
ភាពងាយរងគ្រោះចំពោះ Struts 2

-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
ខ្ពស់
រហ័ស
ភាពងាយរងគ្រោះចំពោះ Struts 2

-
CVE-2013-2115
CVE-2013-2115
ខ្ពស់
រហ័ស
ភាពងាយរងគ្រោះចំពោះ Struts 2

-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
ខ្ពស់
រហ័ស
ភាពងាយរងគ្រោះចំពោះ Struts 2

-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
ខ្ពស់
រហ័ស
ភាពងាយរងគ្រោះចំពោះ Struts 2

CVE-2014-0114
CVE-2014-0114
-
ខ្ពស់
ពិត

-
CVE-2015-2992
CVE-2015-2992
មធ្យម
មិនពិត
ភាពងាយរងគ្រោះចំពោះ Struts 2

-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
ខ្ពស់
មិនពិត
ភាពងាយរងគ្រោះចំពោះ Struts 2

CVE-2016-1181
CVE-2016-1181
-
ខ្ពស់
ពិត

-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
ខ្ពស់
មិនពិត
ភាពងាយរងគ្រោះចំពោះ Struts 2

xwork-core៖ 2.3.30
CVE-2017-9804
-
-
ខ្ពស់
ពិត

SONATYPE-2017-0173
-
-
ខ្ពស់
ពិត

CVE-2017-7672
-
-
ខ្ពស់
មិនពិត
ស្ទួននៃ CVE-2017-9804

SONATYPE-2016-0127
-
-
ខ្ពស់
ពិត

struts2-core: 2.3.30
-
CVE-2016-6795
CVE-2016-6795
ខ្ពស់
ពិត

-
CVE-2017-9787
CVE-2017-9787
ខ្ពស់
ពិត

-
CVE-2017-9791
CVE-2017-9791
ខ្ពស់
ពិត

-
CVE-2017-9793
-
ខ្ពស់
មិនពិត
ស្ទួននៃ CVE-2018-1327

-
CVE-2017-9804
-
ខ្ពស់
ពិត

-
CVE-2017-9805
CVE-2017-9805
ខ្ពស់
ពិត

CVE-2016-4003
-
-
មធ្យម
មិនពិត
អាចអនុវត្តបានចំពោះ Apache Struts 2.x រហូតដល់ 2.3.28 ដែលជាកំណែ 2.3.30។ ទោះយ៉ាងណាក៏ដោយ ដោយផ្អែកលើការពិពណ៌នា CVE មានសុពលភាពសម្រាប់កំណែណាមួយនៃ Struts 2 ប្រសិនបើ JRE 1.7 ឬតិចជាងនេះត្រូវបានប្រើ។ ជាក់ស្តែង ពួកគេបានសម្រេចចិត្តធានាយើងឡើងវិញនៅទីនេះ ប៉ុន្តែវាមើលទៅដូចជា FALSE ច្រើនជាង

-
CVE-2018-1327
CVE-2018-1327
ខ្ពស់
ពិត

CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
ខ្ពស់
ពិត
ភាពងាយរងគ្រោះដូចគ្នាដែលពួក Hacker Equifax កេងប្រវ័ញ្ចក្នុងឆ្នាំ 2017

CVE-2017-12611
CVE-2017-12611
-
ខ្ពស់
ពិត

CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
ខ្ពស់
ពិត

struts-taglib: 1.3.8
-
CVE-2012-0394
-
មធ្យម
មិនពិត
សម្រាប់ struts2-core

-
CVE-2013-2115
-
ខ្ពស់
មិនពិត
សម្រាប់ struts2-core

-
CVE-2014-0114
-
ខ្ពស់
មិនពិត
សម្រាប់ទូទៅ - សណ្តែក

-
CVE-2015-0899
-
ខ្ពស់
មិនពិត
មិនអនុវត្តចំពោះ taglib ទេ។

-
CVE-2015-2992
-
មធ្យម
មិនពិត
សំដៅលើ struts2-core

-
CVE-2016-1181
-
ខ្ពស់
មិនពិត
មិនអនុវត្តចំពោះ taglib ទេ។

-
CVE-2016-1182
-
ខ្ពស់
មិនពិត
មិនអនុវត្តចំពោះ taglib ទេ។

struts-tiles-1.3.8
-
CVE-2012-0394
-
មធ្យម
មិនពិត
សម្រាប់ struts2-core

-
CVE-2013-2115
-
ខ្ពស់
មិនពិត
សម្រាប់ struts2-core

-
CVE-2014-0114
-
ខ្ពស់
មិនពិត
នៅក្រោមរុក្ខជាតិទូទៅ

-
CVE-2015-0899
-
ខ្ពស់
មិនពិត
មិនអនុវត្តចំពោះក្បឿងទេ។

-
CVE-2015-2992
-
មធ្យម
មិនពិត
សម្រាប់ struts2-core

-
CVE-2016-1181
-
ខ្ពស់
មិនពិត
មិនអនុវត្តចំពោះ taglib ទេ។

-
CVE-2016-1182
-
ខ្ពស់
មិនពិត
មិនអនុវត្តចំពោះ taglib ទេ។

ប្រភព: www.habr.com