ಸಿನೊಪ್ಸಿಸ್, ಸೊನಾಟೈಪ್, ಸ್ನೈಕ್ ಮತ್ತು ವೈಟ್ ಸೋರ್ಸ್ನಿಂದ ಪ್ರಕಟವಾದ ಓಪನ್ ಸೋರ್ಸ್ ಲೈಬ್ರರಿಗಳ ದೋಷಗಳ ಕುರಿತು ವಾರ್ಷಿಕ ವರದಿಗಳ ಬಿಡುಗಡೆಯೊಂದಿಗೆ ಅಭಿವೃದ್ಧಿ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಸಾಫ್ಟ್ವೇರ್ ಘಟಕಗಳ (ಸಾಫ್ಟ್ವೇರ್ ಸಂಯೋಜನೆಯ ವಿಶ್ಲೇಷಣೆ - ಎಸ್ಸಿಎ) ವಿಶ್ಲೇಷಣೆಯ ಪ್ರಾಮುಖ್ಯತೆಯು ಬೆಳೆಯುತ್ತಿದೆ. . ವರದಿಯ ಪ್ರಕಾರ
ಅತ್ಯಂತ ವಿವರಣಾತ್ಮಕ ಪ್ರಕರಣಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ
ವಿಶ್ಲೇಷಣೆಯ ಫಲಿತಾಂಶಗಳ ಗುಣಮಟ್ಟದ ದೃಷ್ಟಿಕೋನದಿಂದ SCA ನಡೆಸಲು ಸಾಧನವನ್ನು ಆಯ್ಕೆ ಮಾಡುವ ಸಮಸ್ಯೆಯನ್ನು ಈ ಲೇಖನವು ಚರ್ಚಿಸುತ್ತದೆ. ಪರಿಕರಗಳ ಕ್ರಿಯಾತ್ಮಕ ಹೋಲಿಕೆಯನ್ನು ಸಹ ಒದಗಿಸಲಾಗುತ್ತದೆ. CI/CD ಮತ್ತು ಇಂಟಿಗ್ರೇಷನ್ ಸಾಮರ್ಥ್ಯಗಳಿಗೆ ಸಂಯೋಜಿಸುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ನಂತರದ ಪ್ರಕಟಣೆಗಳಿಗೆ ಬಿಡಲಾಗುತ್ತದೆ. OWASP ನಿಂದ ವ್ಯಾಪಕ ಶ್ರೇಣಿಯ ಪರಿಕರಗಳನ್ನು ಪ್ರಸ್ತುತಪಡಿಸಲಾಗಿದೆ
ಇದು ಹೇಗೆ ಕೆಲಸ ಮಾಡುತ್ತದೆ
CPE ಹೇಗೆ ಕಾಣುತ್ತದೆ ಎಂಬುದನ್ನು ನೋಡೋಣ:
cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other
- ಭಾಗ: ಘಟಕವು ಅಪ್ಲಿಕೇಶನ್ (ಎ), ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ (ಒ), ಹಾರ್ಡ್ವೇರ್ (ಎಚ್) (ಅಗತ್ಯವಿದೆ) ಗೆ ಸಂಬಂಧಿಸಿದೆ ಎಂಬ ಸೂಚನೆ
- ಮಾರಾಟಗಾರ: ಉತ್ಪನ್ನ ತಯಾರಕರ ಹೆಸರು (ಅಗತ್ಯವಿದೆ)
- ಉತ್ಪನ್ನ: ಉತ್ಪನ್ನದ ಹೆಸರು (ಅಗತ್ಯವಿದೆ)
- ಆವೃತ್ತಿ: ಘಟಕ ಆವೃತ್ತಿ (ಬಳಕೆಯಲ್ಲಿಲ್ಲದ ಐಟಂ)
- ಅಪ್ಡೇಟ್: ಪ್ಯಾಕೇಜ್ ನವೀಕರಣ
- ಆವೃತ್ತಿ: ಲೆಗಸಿ ಆವೃತ್ತಿ (ಅಸಮ್ಮಿತಗೊಂಡ ಐಟಂ)
- ಭಾಷೆ: RFC-5646 ರಲ್ಲಿ ಭಾಷೆ ವ್ಯಾಖ್ಯಾನಿಸಲಾಗಿದೆ
- SW ಆವೃತ್ತಿ: ಸಾಫ್ಟ್ವೇರ್ ಆವೃತ್ತಿ
- ಗುರಿ SW: ಉತ್ಪನ್ನವು ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಸಾಫ್ಟ್ವೇರ್ ಪರಿಸರ
- ಗುರಿ HW: ಉತ್ಪನ್ನವು ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಯಂತ್ರಾಂಶ ಪರಿಸರ
- ಇತರೆ: ಪೂರೈಕೆದಾರ ಅಥವಾ ಉತ್ಪನ್ನ ಮಾಹಿತಿ
ಉದಾಹರಣೆ CPE ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*
ಲೈನ್ ಎಂದರೆ CPE ಆವೃತ್ತಿ 2.3 ತಯಾರಕರಿಂದ ಅಪ್ಲಿಕೇಶನ್ ಘಟಕವನ್ನು ವಿವರಿಸುತ್ತದೆ pivotal_software
ಶೀರ್ಷಿಕೆಯೊಂದಿಗೆ spring_framework
ಆವೃತ್ತಿ 3.0.0. ನಾವು ದುರ್ಬಲತೆಯನ್ನು ತೆರೆದರೆ
URL ಅನ್ನು SCA ಪರಿಕರಗಳು ಸಹ ಬಳಸುತ್ತವೆ. ಪ್ಯಾಕೇಜ್ URL ಸ್ವರೂಪವು ಈ ಕೆಳಗಿನಂತಿದೆ:
scheme:type/namespace/name@version?qualifiers#subpath
- ಯೋಜನೆ: ಇದು ಪ್ಯಾಕೇಜ್ URL ಎಂದು ಸೂಚಿಸುವ 'pkg' ಯಾವಾಗಲೂ ಇರುತ್ತದೆ (ಅಗತ್ಯವಿದೆ)
- ಕೌಟುಂಬಿಕತೆ: ಪ್ಯಾಕೇಜಿನ "ಪ್ರಕಾರ" ಅಥವಾ ಪ್ಯಾಕೇಜಿನ "ಪ್ರೋಟೋಕಾಲ್", ಉದಾಹರಣೆಗೆ ಮಾವೆನ್, npm, nuget, gem, pypi, ಇತ್ಯಾದಿ. (ಅಗತ್ಯವಿರುವ ವಸ್ತು)
- ನೇಮ್ಸ್ಪೇಸ್: Maven ಗುಂಪು ID, ಡಾಕರ್ ಇಮೇಜ್ ಮಾಲೀಕರು, GitHub ಬಳಕೆದಾರ, ಅಥವಾ ಸಂಸ್ಥೆಯಂತಹ ಕೆಲವು ಹೆಸರಿನ ಪೂರ್ವಪ್ರತ್ಯಯ. ಐಚ್ಛಿಕ ಮತ್ತು ಪ್ರಕಾರವನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ.
- ಹೆಸರು: ಪ್ಯಾಕೇಜ್ ಹೆಸರು (ಅಗತ್ಯವಿದೆ)
- ಆವೃತ್ತಿ: ಪ್ಯಾಕೇಜ್ ಆವೃತ್ತಿ
- ಅರ್ಹತೆಗಳು: OS, ಆರ್ಕಿಟೆಕ್ಚರ್, ವಿತರಣೆ, ಇತ್ಯಾದಿಗಳಂತಹ ಪ್ಯಾಕೇಜ್ಗಾಗಿ ಹೆಚ್ಚುವರಿ ಅರ್ಹತಾ ಡೇಟಾ. ಐಚ್ಛಿಕ ಮತ್ತು ಪ್ರಕಾರ-ನಿರ್ದಿಷ್ಟ.
- ಉಪಪಥ: ಪ್ಯಾಕೇಜ್ ರೂಟ್ಗೆ ಸಂಬಂಧಿಸಿದಂತೆ ಪ್ಯಾಕೇಜ್ನಲ್ಲಿ ಹೆಚ್ಚುವರಿ ಮಾರ್ಗ
ಉದಾಹರಣೆಗೆ:
pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]
XML ಸ್ವರೂಪದಲ್ಲಿ BOM ಹೇಗಿರಬಹುದು ಎಂಬುದರ ಉದಾಹರಣೆ:
<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
<components>
<component type="library">
<publisher>Apache</publisher>
<group>org.apache.tomcat</group>
<name>tomcat-catalina</name>
<version>9.0.14</version>
<hashes>
<hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
<hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
<hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
<hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
</hashes>
<licenses>
<license>
<id>Apache-2.0</id>
</license>
</licenses>
<purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
</component>
<!-- More components here -->
</components>
</bom>
BOM ಅನ್ನು ಡಿಪೆಂಡೆನ್ಸಿ ಟ್ರ್ಯಾಕ್ಗೆ ಇನ್ಪುಟ್ ಪ್ಯಾರಾಮೀಟರ್ಗಳಾಗಿ ಬಳಸಬಹುದು, ಆದರೆ ಪೂರೈಕೆ ಸರಪಳಿಯಲ್ಲಿ ಸಾಫ್ಟ್ವೇರ್ ಘಟಕಗಳನ್ನು ದಾಸ್ತಾನು ಮಾಡಲು, ಉದಾಹರಣೆಗೆ, ಗ್ರಾಹಕರಿಗೆ ಸಾಫ್ಟ್ವೇರ್ ಒದಗಿಸಲು. 2014 ರಲ್ಲಿ, ಯುನೈಟೆಡ್ ಸ್ಟೇಟ್ಸ್ನಲ್ಲಿ ಕಾನೂನನ್ನು ಸಹ ಪ್ರಸ್ತಾಪಿಸಲಾಯಿತು
SCA ಗೆ ಹಿಂತಿರುಗಿ, ಡಿಪೆಂಡೆನ್ಸಿ ಟ್ರ್ಯಾಕ್ ಸ್ಲಾಕ್ನಂತಹ ಅಧಿಸೂಚನೆ ಪ್ಲಾಟ್ಫಾರ್ಮ್ಗಳೊಂದಿಗೆ ಸಿದ್ಧ-ಸಿದ್ಧ ಸಂಯೋಜನೆಗಳನ್ನು ಹೊಂದಿದೆ, ಕೆನ್ನಾ ಭದ್ರತೆಯಂತಹ ದುರ್ಬಲತೆ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಗಳು. ಡಿಪೆಂಡೆನ್ಸಿ ಟ್ರ್ಯಾಕ್, ಇತರ ವಿಷಯಗಳ ಜೊತೆಗೆ, ಪ್ಯಾಕೇಜ್ಗಳ ಹಳೆಯ ಆವೃತ್ತಿಗಳನ್ನು ಗುರುತಿಸುತ್ತದೆ ಮತ್ತು ಪರವಾನಗಿಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಒದಗಿಸುತ್ತದೆ (SPDX ಬೆಂಬಲದಿಂದಾಗಿ).
ನಾವು SCA ಯ ಗುಣಮಟ್ಟದ ಬಗ್ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿ ಮಾತನಾಡಿದರೆ, ನಂತರ ಮೂಲಭೂತ ವ್ಯತ್ಯಾಸವಿದೆ.
ಡಿಪೆಂಡೆನ್ಸಿ ಟ್ರ್ಯಾಕ್ ಪ್ರಾಜೆಕ್ಟ್ ಅನ್ನು ಇನ್ಪುಟ್ ಆಗಿ ಸ್ವೀಕರಿಸುವುದಿಲ್ಲ, ಬದಲಿಗೆ BOM. ಇದರರ್ಥ ನಾವು ಯೋಜನೆಯನ್ನು ಪರೀಕ್ಷಿಸಲು ಬಯಸಿದರೆ, ನಾವು ಮೊದಲು bom.xml ಅನ್ನು ರಚಿಸಬೇಕಾಗಿದೆ, ಉದಾಹರಣೆಗೆ CycloneDX ಅನ್ನು ಬಳಸಿ. ಹೀಗಾಗಿ, ಡಿಪೆಂಡೆನ್ಸಿ ಟ್ರ್ಯಾಕ್ ನೇರವಾಗಿ ಸೈಕ್ಲೋನ್ ಡಿಎಕ್ಸ್ ಮೇಲೆ ಅವಲಂಬಿತವಾಗಿದೆ. ಅದೇ ಸಮಯದಲ್ಲಿ, ಇದು ಗ್ರಾಹಕೀಕರಣವನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಇದನ್ನು ಓಝೋನ್ ತಂಡವು ಬರೆದಿದೆ
ಕೆಲವು ಕ್ರಿಯಾತ್ಮಕ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಸಾರಾಂಶ ಮಾಡೋಣ ಮತ್ತು ವಿಶ್ಲೇಷಣೆಗಾಗಿ ಬೆಂಬಲಿತ ಭಾಷೆಗಳನ್ನು ಪರಿಗಣಿಸೋಣ:
ಭಾಷೆ
Nexus IQ
ಅವಲಂಬನೆ ಪರಿಶೀಲನೆ
ಅವಲಂಬನೆ ಟ್ರ್ಯಾಕ್
ಜಾವಾ
+
+
+
ಸಿ / ಸಿ ++
+
+
-
C#
+
+
-
ನೆಟ್
+
+
+
ಎರ್ಲಾಂಗ್
-
-
+
ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ (ನೋಡ್ಜೆಎಸ್)
+
+
+
ಪಿಎಚ್ಪಿ
+
+
+
ಪೈಥಾನ್
+
+
+
ರೂಬಿ
+
+
+
ಪರ್ಲ್
-
-
-
ಸ್ಕಲಾ
+
+
+
ಉದ್ದೇಶ ಸಿ
+
+
-
ಸ್ವಿಫ್ಟ್
+
+
-
R
+
-
-
Go
+
+
+
ಕಾರ್ಯವಿಧಾನ
ಕಾರ್ಯವಿಧಾನ
Nexus IQ
ಅವಲಂಬನೆ ಪರಿಶೀಲನೆ
ಅವಲಂಬನೆ ಟ್ರ್ಯಾಕ್
ಮೂಲ ಕೋಡ್ನಲ್ಲಿ ಬಳಸಲಾದ ಘಟಕಗಳನ್ನು ಪರವಾನಗಿ ಪಡೆದ ಶುದ್ಧತೆಗಾಗಿ ಪರಿಶೀಲಿಸಲಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುವ ಸಾಮರ್ಥ್ಯ
+
-
+
ದೋಷಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವ ಮತ್ತು ವಿಶ್ಲೇಷಿಸುವ ಸಾಮರ್ಥ್ಯ ಮತ್ತು ಡಾಕರ್ ಚಿತ್ರಗಳಿಗೆ ಪರವಾನಗಿ ಶುಚಿತ್ವ
+ ಕ್ಲೇರ್ ಜೊತೆ ಏಕೀಕರಣ
-
-
ಓಪನ್ ಸೋರ್ಸ್ ಲೈಬ್ರರಿಗಳನ್ನು ಬಳಸಲು ಭದ್ರತಾ ನೀತಿಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯ
+
-
-
ದುರ್ಬಲ ಘಟಕಗಳಿಗಾಗಿ ತೆರೆದ ಮೂಲ ರೆಪೊಸಿಟರಿಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯ
+ ರೂಬಿಜೆಮ್ಸ್, ಮಾವೆನ್, ಎನ್ಪಿಎಂ, ನುಗೆಟ್, ಪೈಪಿ, ಕಾನನ್, ಬೋವರ್, ಕಾಂಡಾ, ಗೋ, ಪಿ 2, ಆರ್, ಯಮ್, ಹೆಲ್ಮ್, ಡಾಕರ್, ಕೊಕೊಪಾಡ್ಸ್, ಜಿಟ್ ಎಲ್ಎಫ್ಎಸ್
-
+ ಹೆಕ್ಸ್, ರೂಬಿಜೆಮ್ಸ್, ಮಾವೆನ್, ಎನ್ಪಿಎಂ, ನುಗೆಟ್, ಪೈಪಿ
ವಿಶೇಷ ಸಂಶೋಧನಾ ಗುಂಪಿನ ಲಭ್ಯತೆ
+
-
-
ಮುಚ್ಚಿದ ಲೂಪ್ ಕಾರ್ಯಾಚರಣೆ
+
+
+
ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಡೇಟಾಬೇಸ್ಗಳನ್ನು ಬಳಸುವುದು
+ ಮುಚ್ಚಿದ ಸೋನಾಟೈಪ್ ಡೇಟಾಬೇಸ್
+ ಸೋನಾಟೈಪ್ OSS, NPM ಸಾರ್ವಜನಿಕ ಸಲಹೆಗಾರರು
+ ಸೋನಾಟೈಪ್ OSS, NPM ಸಾರ್ವಜನಿಕ ಸಲಹೆಗಾರರು, RetireJS, VulnDB, ತನ್ನದೇ ಆದ ದುರ್ಬಲತೆಯ ಡೇಟಾಬೇಸ್ಗೆ ಬೆಂಬಲ
ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾದ ನೀತಿಗಳ ಪ್ರಕಾರ ಡೆವಲಪ್ಮೆಂಟ್ ಲೂಪ್ಗೆ ಲೋಡ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸುವಾಗ ಓಪನ್ ಸೋರ್ಸ್ ಘಟಕಗಳನ್ನು ಫಿಲ್ಟರ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯ
+
-
-
ದೋಷಗಳನ್ನು ಸರಿಪಡಿಸಲು ಶಿಫಾರಸುಗಳು, ಪರಿಹಾರಗಳಿಗೆ ಲಿಂಕ್ಗಳ ಲಭ್ಯತೆ
+
+- (ಸಾರ್ವಜನಿಕ ಡೇಟಾಬೇಸ್ಗಳಲ್ಲಿನ ವಿವರಣೆಯನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ)
+- (ಸಾರ್ವಜನಿಕ ಡೇಟಾಬೇಸ್ಗಳಲ್ಲಿನ ವಿವರಣೆಯನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ)
ತೀವ್ರತೆಯ ಮೂಲಕ ಪತ್ತೆಯಾದ ದುರ್ಬಲತೆಗಳ ಶ್ರೇಯಾಂಕ
+
+
+
ಪಾತ್ರ ಆಧಾರಿತ ಪ್ರವೇಶ ಮಾದರಿ
+
-
+
CLI ಬೆಂಬಲ
+
+
+- (CycloneDX ಗೆ ಮಾತ್ರ)
ವ್ಯಾಖ್ಯಾನಿಸಲಾದ ಮಾನದಂಡಗಳ ಪ್ರಕಾರ ದುರ್ಬಲತೆಗಳ ಮಾದರಿ/ವಿಂಗಡಣೆ
+
-
+
ಅಪ್ಲಿಕೇಶನ್ ಸ್ಥಿತಿಯ ಮೂಲಕ ಡ್ಯಾಶ್ಬೋರ್ಡ್
+
-
+
PDF ಸ್ವರೂಪದಲ್ಲಿ ವರದಿಗಳನ್ನು ರಚಿಸಲಾಗುತ್ತಿದೆ
+
-
-
JSONCSV ಸ್ವರೂಪದಲ್ಲಿ ವರದಿಗಳನ್ನು ರಚಿಸಲಾಗುತ್ತಿದೆ
+
+
-
ರಷ್ಯನ್ ಭಾಷೆಯ ಬೆಂಬಲ
-
-
-
ಏಕೀಕರಣ ಸಾಮರ್ಥ್ಯಗಳು
ಏಕೀಕರಣ
Nexus IQ
ಅವಲಂಬನೆ ಪರಿಶೀಲನೆ
ಅವಲಂಬನೆ ಟ್ರ್ಯಾಕ್
LDAP/ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಏಕೀಕರಣ
+
-
+
ನಿರಂತರ ಏಕೀಕರಣ ವ್ಯವಸ್ಥೆ ಬಿದಿರು ಜೊತೆ ಏಕೀಕರಣ
+
-
-
ನಿರಂತರ ಏಕೀಕರಣ ವ್ಯವಸ್ಥೆ ಟೀಮ್ಸಿಟಿಯೊಂದಿಗೆ ಏಕೀಕರಣ
+
-
-
ನಿರಂತರ ಏಕೀಕರಣ ವ್ಯವಸ್ಥೆ GitLab ನೊಂದಿಗೆ ಏಕೀಕರಣ
+
+- (GitLab ಗಾಗಿ ಪ್ಲಗಿನ್ ಆಗಿ)
+
ನಿರಂತರ ಏಕೀಕರಣ ವ್ಯವಸ್ಥೆ ಜೆಂಕಿನ್ಸ್ ಜೊತೆ ಏಕೀಕರಣ
+
+
+
IDE ಗಾಗಿ ಪ್ಲಗಿನ್ಗಳ ಲಭ್ಯತೆ
+ ಇಂಟೆಲ್ಲಿಜೆ, ಎಕ್ಲಿಪ್ಸ್, ವಿಷುಯಲ್ ಸ್ಟುಡಿಯೋ
-
-
ಉಪಕರಣದ ವೆಬ್-ಸೇವೆಗಳ (API) ಮೂಲಕ ಕಸ್ಟಮ್ ಏಕೀಕರಣಕ್ಕೆ ಬೆಂಬಲ
+
-
+
ಅವಲಂಬನೆ ಪರಿಶೀಲನೆ
ಮೊದಲ ಪ್ರಾರಂಭ
ಉದ್ದೇಶಪೂರ್ವಕವಾಗಿ ದುರ್ಬಲ ಅಪ್ಲಿಕೇಶನ್ನಲ್ಲಿ ಅವಲಂಬನೆ ಪರಿಶೀಲನೆಯನ್ನು ರನ್ ಮಾಡೋಣ
ಇದಕ್ಕಾಗಿ ನಾವು ಬಳಸುತ್ತೇವೆ
mvn org.owasp:dependency-check-maven:check
ಪರಿಣಾಮವಾಗಿ, ಡಿಪೆಂಡೆನ್ಸಿ-ಚೆಕ್-ರಿಪೋರ್ಟ್.html ಗುರಿ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಕಾಣಿಸುತ್ತದೆ.
ಫೈಲ್ ಅನ್ನು ತೆರೆಯೋಣ. ಒಟ್ಟು ದುರ್ಬಲತೆಗಳ ಬಗ್ಗೆ ಸಾರಾಂಶ ಮಾಹಿತಿಯ ನಂತರ, ಪ್ಯಾಕೇಜ್, CPE ಮತ್ತು CVE ಗಳ ಸಂಖ್ಯೆಯನ್ನು ಸೂಚಿಸುವ ಉನ್ನತ ಮಟ್ಟದ ತೀವ್ರತೆ ಮತ್ತು ವಿಶ್ವಾಸದೊಂದಿಗೆ ನಾವು ದುರ್ಬಲತೆಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ನೋಡಬಹುದು.
ಮುಂದೆ ಹೆಚ್ಚು ವಿವರವಾದ ಮಾಹಿತಿ ಬರುತ್ತದೆ, ನಿರ್ದಿಷ್ಟವಾಗಿ ಯಾವ ನಿರ್ಧಾರವನ್ನು ತೆಗೆದುಕೊಳ್ಳಲಾಗಿದೆ (ಸಾಕ್ಷ್ಯ), ಅಂದರೆ ನಿರ್ದಿಷ್ಟ BOM.
ಮುಂದೆ CPE, PURL ಮತ್ತು CVE ವಿವರಣೆ ಬರುತ್ತದೆ. ಮೂಲಕ, ಎನ್ವಿಡಿ ಡೇಟಾಬೇಸ್ನಲ್ಲಿ ಅವರ ಅನುಪಸ್ಥಿತಿಯ ಕಾರಣ ತಿದ್ದುಪಡಿಗಾಗಿ ಶಿಫಾರಸುಗಳನ್ನು ಸೇರಿಸಲಾಗಿಲ್ಲ.
ಸ್ಕ್ಯಾನ್ ಫಲಿತಾಂಶಗಳನ್ನು ವ್ಯವಸ್ಥಿತವಾಗಿ ವೀಕ್ಷಿಸಲು, ನೀವು ಕನಿಷ್ಟ ಸೆಟ್ಟಿಂಗ್ಗಳೊಂದಿಗೆ Nginx ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು ಅಥವಾ ಪರಿಣಾಮವಾಗಿ ದೋಷಗಳನ್ನು ಡಿಪೆಂಡೆನ್ಸಿ ಚೆಕ್ಗೆ ಕನೆಕ್ಟರ್ಗಳನ್ನು ಬೆಂಬಲಿಸುವ ದೋಷ ನಿರ್ವಹಣಾ ವ್ಯವಸ್ಥೆಗೆ ಕಳುಹಿಸಬಹುದು. ಉದಾಹರಣೆಗೆ, ದೋಷ ಡೋಜೋ.
ಅವಲಂಬನೆ ಟ್ರ್ಯಾಕ್
ಸೆಟ್ಟಿಂಗ್
ಡಿಪೆಂಡೆನ್ಸಿ ಟ್ರ್ಯಾಕ್, ಪ್ರತಿಯಾಗಿ, ಡಿಸ್ಪ್ಲೇ ಗ್ರಾಫ್ಗಳೊಂದಿಗೆ ವೆಬ್ ಆಧಾರಿತ ಪ್ಲಾಟ್ಫಾರ್ಮ್ ಆಗಿದೆ, ಆದ್ದರಿಂದ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಪರಿಹಾರದಲ್ಲಿ ದೋಷಗಳನ್ನು ಸಂಗ್ರಹಿಸುವ ಒತ್ತುವ ಸಮಸ್ಯೆ ಇಲ್ಲಿ ಉದ್ಭವಿಸುವುದಿಲ್ಲ.
ಅನುಸ್ಥಾಪನೆಗೆ ಬೆಂಬಲಿತ ಸ್ಕ್ರಿಪ್ಟ್ಗಳು: ಡಾಕರ್, ವಾರ್, ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ವಾರ್.
ಮೊದಲ ಪ್ರಾರಂಭ
ನಾವು ಚಾಲನೆಯಲ್ಲಿರುವ ಸೇವೆಯ URL ಗೆ ಹೋಗುತ್ತೇವೆ. ನಾವು ನಿರ್ವಾಹಕ/ನಿರ್ವಾಹಕರ ಮೂಲಕ ಲಾಗ್ ಇನ್ ಮಾಡಿ, ಲಾಗಿನ್ ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಬದಲಾಯಿಸುತ್ತೇವೆ ಮತ್ತು ನಂತರ ಡ್ಯಾಶ್ಬೋರ್ಡ್ಗೆ ಹೋಗುತ್ತೇವೆ. ನಾವು ಮಾಡುವ ಮುಂದಿನ ಕೆಲಸವೆಂದರೆ ಜಾವಾದಲ್ಲಿ ಪರೀಕ್ಷಾ ಅಪ್ಲಿಕೇಶನ್ಗಾಗಿ ಯೋಜನೆಯನ್ನು ರಚಿಸುವುದು ಮನೆ/ಪ್ರಾಜೆಕ್ಟ್ಗಳು → ಪ್ರಾಜೆಕ್ಟ್ ರಚಿಸಿ . ಡಿವಿಜೆಎಯನ್ನು ಉದಾಹರಣೆಯಾಗಿ ತೆಗೆದುಕೊಳ್ಳೋಣ.
ಡಿಪೆಂಡೆನ್ಸಿ ಟ್ರ್ಯಾಕ್ BOM ಅನ್ನು ಇನ್ಪುಟ್ ಆಗಿ ಮಾತ್ರ ಸ್ವೀಕರಿಸಬಹುದಾದ್ದರಿಂದ, ಈ BOM ಅನ್ನು ಹಿಂಪಡೆಯಬೇಕು. ಪ್ರಯೋಜನ ಪಡೆಯೋಣ
mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom
ನಾವು bom.xml ಅನ್ನು ಪಡೆಯುತ್ತೇವೆ ಮತ್ತು ರಚಿಸಿದ ಯೋಜನೆಯಲ್ಲಿ ಫೈಲ್ ಅನ್ನು ಲೋಡ್ ಮಾಡುತ್ತೇವೆ DVJA → ಅವಲಂಬನೆಗಳು → BOM ಅನ್ನು ಅಪ್ಲೋಡ್ ಮಾಡಿ.
ಆಡಳಿತ → ವಿಶ್ಲೇಷಕಗಳಿಗೆ ಹೋಗೋಣ. ನಾವು NVD ಅನ್ನು ಒಳಗೊಂಡಿರುವ ಆಂತರಿಕ ವಿಶ್ಲೇಷಕವನ್ನು ಮಾತ್ರ ಸಕ್ರಿಯಗೊಳಿಸಿದ್ದೇವೆ ಎಂದು ನಾವು ಅರ್ಥಮಾಡಿಕೊಂಡಿದ್ದೇವೆ. ಸೋನಾಟೈಪ್ ಓಎಸ್ಎಸ್ ಇಂಡೆಕ್ಸ್ ಅನ್ನು ಸಹ ಸಂಪರ್ಕಿಸೋಣ.
ಹೀಗಾಗಿ, ನಮ್ಮ ಯೋಜನೆಗಾಗಿ ನಾವು ಈ ಕೆಳಗಿನ ಚಿತ್ರವನ್ನು ಪಡೆಯುತ್ತೇವೆ:
ಸೋನಾಟೈಪ್ OSS ಗೆ ಅನ್ವಯಿಸುವ ಒಂದು ದುರ್ಬಲತೆಯನ್ನು ನೀವು ಪಟ್ಟಿಯಲ್ಲಿ ಕಾಣಬಹುದು:
ಡಿಪೆಂಡೆನ್ಸಿ ಟ್ರ್ಯಾಕ್ ಇನ್ನು ಮುಂದೆ ಡಿಪೆಂಡೆನ್ಸಿ ಚೆಕ್ xml ವರದಿಗಳನ್ನು ಸ್ವೀಕರಿಸುವುದಿಲ್ಲ ಎಂಬುದು ಮುಖ್ಯ ನಿರಾಶೆಯಾಗಿದೆ. ಡಿಪೆಂಡೆನ್ಸಿ ಚೆಕ್ ಇಂಟಿಗ್ರೇಶನ್ನ ಇತ್ತೀಚಿನ ಬೆಂಬಲಿತ ಆವೃತ್ತಿಗಳು 1.0.0 - 4.0.2 ಆಗಿದ್ದು, ನಾನು 5.3.2 ಅನ್ನು ಪರೀಕ್ಷಿಸಿದ್ದೇನೆ.
ಇಲ್ಲಿ
Nexus IQ
ಮೊದಲ ಪ್ರಾರಂಭ
Nexus IQ ನ ಸ್ಥಾಪನೆಯು ಆರ್ಕೈವ್ನಿಂದ ಬಂದಿದೆ
ಕನ್ಸೋಲ್ಗೆ ಲಾಗ್ ಇನ್ ಮಾಡಿದ ನಂತರ, ನೀವು ಸಂಸ್ಥೆ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ರಚಿಸಬೇಕಾಗಿದೆ.
ನೀವು ನೋಡುವಂತೆ, IQ ನ ಸಂದರ್ಭದಲ್ಲಿ ಸೆಟಪ್ ಸ್ವಲ್ಪ ಹೆಚ್ಚು ಜಟಿಲವಾಗಿದೆ, ಏಕೆಂದರೆ ನಾವು ವಿವಿಧ "ಹಂತಗಳಿಗೆ" (dev, ಬಿಲ್ಡ್, ಹಂತ, ಬಿಡುಗಡೆ) ಅನ್ವಯವಾಗುವ ನೀತಿಗಳನ್ನು ರಚಿಸಬೇಕಾಗಿದೆ. ಪೈಪ್ಲೈನ್ನ ಮೂಲಕ ಉತ್ಪಾದನೆಗೆ ಹತ್ತಿರವಾಗಿ ಚಲಿಸುವಾಗ ದುರ್ಬಲ ಘಟಕಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ಅಥವಾ ಡೆವಲಪರ್ಗಳು ಡೌನ್ಲೋಡ್ ಮಾಡಿದಾಗ Nexus Repo ಗೆ ಪ್ರವೇಶಿಸಿದ ತಕ್ಷಣ ಅವುಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ಇದು ಅವಶ್ಯಕವಾಗಿದೆ.
ಓಪನ್ ಸೋರ್ಸ್ ಮತ್ತು ಎಂಟರ್ಪ್ರೈಸ್ ನಡುವಿನ ವ್ಯತ್ಯಾಸವನ್ನು ಅನುಭವಿಸಲು, ನೆಕ್ಸಸ್ ಐಕ್ಯೂ ಮೂಲಕ ಅದೇ ರೀತಿಯಲ್ಲಿ ಸ್ಕ್ಯಾನ್ ಮಾಡೋಣ dvja-test-and-compare
:
mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>
IQ ವೆಬ್ ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿ ರಚಿಸಲಾದ ವರದಿಗೆ URL ಅನ್ನು ಅನುಸರಿಸಿ:
ಇಲ್ಲಿ ನೀವು ವಿವಿಧ ಪ್ರಾಮುಖ್ಯತೆಯ ಹಂತಗಳನ್ನು ಸೂಚಿಸುವ ಎಲ್ಲಾ ನೀತಿ ಉಲ್ಲಂಘನೆಗಳನ್ನು ನೋಡಬಹುದು (ಮಾಹಿತಿಯಿಂದ ಭದ್ರತಾ ನಿರ್ಣಾಯಕವರೆಗೆ). ಘಟಕದ ಪಕ್ಕದಲ್ಲಿರುವ ಡಿ ಅಕ್ಷರ ಎಂದರೆ ಘಟಕವು ನೇರ ಅವಲಂಬನೆ, ಮತ್ತು ಘಟಕದ ಪಕ್ಕದಲ್ಲಿರುವ ಟಿ ಅಕ್ಷರ ಎಂದರೆ ಘಟಕವು ಟ್ರಾನ್ಸಿಟಿವ್ ಅವಲಂಬನೆ, ಅಂದರೆ ಅದು ಟ್ರಾನ್ಸಿಟಿವ್ ಆಗಿದೆ.
ಮೂಲಕ, ವರದಿ
ನಾವು Nexus IQ ನೀತಿಯ ಉಲ್ಲಂಘನೆಗಳಲ್ಲಿ ಒಂದನ್ನು ತೆರೆದರೆ, ನಾವು ಕಾಂಪೊನೆಂಟ್ನ ವಿವರಣೆಯನ್ನು ನೋಡಬಹುದು, ಜೊತೆಗೆ ಆವೃತ್ತಿ ಗ್ರಾಫ್ ಅನ್ನು ನೋಡಬಹುದು, ಇದು ಟೈಮ್ ಗ್ರಾಫ್ನಲ್ಲಿ ಪ್ರಸ್ತುತ ಆವೃತ್ತಿಯ ಸ್ಥಳವನ್ನು ತೋರಿಸುತ್ತದೆ, ಹಾಗೆಯೇ ಯಾವ ಹಂತದಲ್ಲಿ ದುರ್ಬಲತೆ ನಿಲ್ಲುತ್ತದೆ ದುರ್ಬಲವಾಗಿರುತ್ತದೆ. ಗ್ರಾಫ್ನಲ್ಲಿನ ಮೇಣದಬತ್ತಿಗಳ ಎತ್ತರವು ಈ ಘಟಕವನ್ನು ಬಳಸುವ ಜನಪ್ರಿಯತೆಯನ್ನು ತೋರಿಸುತ್ತದೆ.
ನೀವು ದುರ್ಬಲತೆಗಳ ವಿಭಾಗಕ್ಕೆ ಹೋಗಿ CVE ಅನ್ನು ವಿಸ್ತರಿಸಿದರೆ, ನೀವು ಈ ದುರ್ಬಲತೆಯ ವಿವರಣೆಯನ್ನು ಓದಬಹುದು, ನಿರ್ಮೂಲನೆಗೆ ಶಿಫಾರಸುಗಳು, ಹಾಗೆಯೇ ಈ ಘಟಕವನ್ನು ಉಲ್ಲಂಘಿಸಿದ ಕಾರಣ, ಅಂದರೆ ವರ್ಗದ ಉಪಸ್ಥಿತಿ DiskFileitem.class
.
js ಘಟಕಗಳನ್ನು ತೆಗೆದುಹಾಕುವ ಮೂಲಕ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಜಾವಾ ಘಟಕಗಳಿಗೆ ಸಂಬಂಧಿಸಿದವುಗಳನ್ನು ಮಾತ್ರ ಸಂಕ್ಷಿಪ್ತಗೊಳಿಸೋಣ. ಆವರಣದಲ್ಲಿ NVD ಯ ಹೊರಗೆ ಕಂಡುಬಂದ ದೋಷಗಳ ಸಂಖ್ಯೆಯನ್ನು ನಾವು ಸೂಚಿಸುತ್ತೇವೆ.
ಒಟ್ಟು Nexus IQ:
- ಅವಲಂಬನೆಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಲಾಗಿದೆ: 62
- ದುರ್ಬಲ ಅವಲಂಬನೆಗಳು: 16
- ದೋಷಗಳು ಕಂಡುಬಂದಿವೆ: 42 (8 ಸೋನಾಟೈಪ್ ಡಿಬಿ)
ಒಟ್ಟು ಅವಲಂಬನೆ ಪರಿಶೀಲನೆ:
- ಅವಲಂಬನೆಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಲಾಗಿದೆ: 47
- ದುರ್ಬಲ ಅವಲಂಬನೆಗಳು: 13
- ದೋಷಗಳು ಕಂಡುಬಂದಿವೆ: 91 (14 ಸೊನಾಟೈಪ್ ಓಎಸ್)
ಒಟ್ಟು ಅವಲಂಬನೆಯ ಟ್ರ್ಯಾಕ್:
- ಅವಲಂಬನೆಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಲಾಗಿದೆ: 59
- ದುರ್ಬಲ ಅವಲಂಬನೆಗಳು: 10
- ದೋಷಗಳು ಕಂಡುಬಂದಿವೆ: 51 (1 ಸೊನಾಟೈಪ್ ಓಎಸ್)
ಮುಂದಿನ ಹಂತಗಳಲ್ಲಿ, ನಾವು ಪಡೆದ ಫಲಿತಾಂಶಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುತ್ತೇವೆ ಮತ್ತು ಈ ದುರ್ಬಲತೆಗಳಲ್ಲಿ ಯಾವುದು ನಿಜವಾದ ದೋಷ ಮತ್ತು ಯಾವುದು ತಪ್ಪು ಧನಾತ್ಮಕವಾಗಿದೆ ಎಂಬುದನ್ನು ಲೆಕ್ಕಾಚಾರ ಮಾಡುತ್ತೇವೆ.
ಹಕ್ಕು ನಿರಾಕರಣೆ
ಈ ವಿಮರ್ಶೆಯು ನಿರ್ವಿವಾದದ ಸತ್ಯವಲ್ಲ. ಇತರರ ಹಿನ್ನೆಲೆಯ ವಿರುದ್ಧ ಪ್ರತ್ಯೇಕ ವಾದ್ಯವನ್ನು ಹೈಲೈಟ್ ಮಾಡುವ ಗುರಿಯನ್ನು ಲೇಖಕರು ಹೊಂದಿರಲಿಲ್ಲ. SCA ಪರಿಕರಗಳ ಕಾರ್ಯಾಚರಣೆಯ ಕಾರ್ಯವಿಧಾನಗಳು ಮತ್ತು ಅವುಗಳ ಫಲಿತಾಂಶಗಳನ್ನು ಪರಿಶೀಲಿಸುವ ವಿಧಾನಗಳನ್ನು ತೋರಿಸುವುದು ವಿಮರ್ಶೆಯ ಅಂಶವಾಗಿದೆ.
ಫಲಿತಾಂಶಗಳ ಹೋಲಿಕೆ
ನಿಯಮಗಳು:
ಥರ್ಡ್-ಪಾರ್ಟಿ ಕಾಂಪೊನೆಂಟ್ ದೌರ್ಬಲ್ಯಗಳಿಗೆ ತಪ್ಪು ಧನಾತ್ಮಕ ಅಂಶವೆಂದರೆ:
- ಗುರುತಿಸಲಾದ ಘಟಕಕ್ಕೆ CVE ಹೊಂದಾಣಿಕೆಯಾಗುತ್ತಿಲ್ಲ
- ಉದಾಹರಣೆಗೆ, struts2 ಫ್ರೇಮ್ವರ್ಕ್ನಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸಿದರೆ ಮತ್ತು ಉಪಕರಣವು ಸ್ಟ್ರಟ್ಸ್-ಟೈಲ್ಸ್ ಫ್ರೇಮ್ವರ್ಕ್ನ ಒಂದು ಘಟಕವನ್ನು ಸೂಚಿಸಿದರೆ, ಈ ದುರ್ಬಲತೆಯು ಅನ್ವಯಿಸುವುದಿಲ್ಲ, ಆಗ ಇದು ತಪ್ಪು ಧನಾತ್ಮಕವಾಗಿರುತ್ತದೆ
- ಘಟಕದ ಗುರುತಿಸಲಾದ ಆವೃತ್ತಿಗೆ CVE ಹೊಂದಿಕೆಯಾಗುವುದಿಲ್ಲ
- ಉದಾಹರಣೆಗೆ, ದುರ್ಬಲತೆಯನ್ನು ಪೈಥಾನ್ ಆವೃತ್ತಿ > 3.5 ಗೆ ಜೋಡಿಸಲಾಗಿದೆ ಮತ್ತು ಉಪಕರಣವು ಆವೃತ್ತಿ 2.7 ಅನ್ನು ದುರ್ಬಲ ಎಂದು ಗುರುತಿಸುತ್ತದೆ - ಇದು ತಪ್ಪು ಧನಾತ್ಮಕವಾಗಿದೆ, ಏಕೆಂದರೆ ವಾಸ್ತವವಾಗಿ ದುರ್ಬಲತೆಯು 3.x ಉತ್ಪನ್ನ ಶಾಖೆಗೆ ಮಾತ್ರ ಅನ್ವಯಿಸುತ್ತದೆ
- ನಕಲು CVE
- ಉದಾಹರಣೆಗೆ, RCE ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವ CVE ಅನ್ನು SCA ನಿರ್ದಿಷ್ಟಪಡಿಸಿದರೆ, ಆ RCE ಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿರುವ Cisco ಉತ್ಪನ್ನಗಳಿಗೆ ಅನ್ವಯಿಸುವ ಅದೇ ಘಟಕಕ್ಕೆ SCA CVE ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುತ್ತದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ ಅದು ತಪ್ಪು ಧನಾತ್ಮಕವಾಗಿರುತ್ತದೆ.
- ಉದಾಹರಣೆಗೆ, ಸ್ಪ್ರಿಂಗ್-ವೆಬ್ ಕಾಂಪೊನೆಂಟ್ನಲ್ಲಿ CVE ಕಂಡುಬಂದಿದೆ, ಅದರ ನಂತರ SCA ಅದೇ CVE ಅನ್ನು ಸ್ಪ್ರಿಂಗ್ ಫ್ರೇಮ್ವರ್ಕ್ನ ಇತರ ಘಟಕಗಳಲ್ಲಿ ಸೂಚಿಸುತ್ತದೆ, ಆದರೆ CVE ಗೆ ಇತರ ಘಟಕಗಳೊಂದಿಗೆ ಯಾವುದೇ ಸಂಬಂಧವಿಲ್ಲ. ಈ ಸಂದರ್ಭದಲ್ಲಿ ಅದು ತಪ್ಪು ಧನಾತ್ಮಕವಾಗಿರುತ್ತದೆ.
ಅಧ್ಯಯನದ ವಸ್ತುವು ಮುಕ್ತ ಮೂಲ ಯೋಜನೆ DVJA ಆಗಿತ್ತು. ಅಧ್ಯಯನವು ಜಾವಾ ಘಟಕಗಳನ್ನು ಮಾತ್ರ ಒಳಗೊಂಡಿತ್ತು (js ಇಲ್ಲದೆ).
ಸಾರಾಂಶ ಫಲಿತಾಂಶಗಳು
ಗುರುತಿಸಲಾದ ದುರ್ಬಲತೆಗಳ ಹಸ್ತಚಾಲಿತ ವಿಮರ್ಶೆಯ ಫಲಿತಾಂಶಗಳಿಗೆ ನೇರವಾಗಿ ಹೋಗೋಣ. ಪ್ರತಿ CVE ಯ ಸಂಪೂರ್ಣ ವರದಿಯನ್ನು ಅನುಬಂಧದಲ್ಲಿ ಕಾಣಬಹುದು.
ಎಲ್ಲಾ ದುರ್ಬಲತೆಗಳ ಸಾರಾಂಶ ಫಲಿತಾಂಶಗಳು:
ನಿಯತಾಂಕ
Nexus IQ
ಅವಲಂಬನೆ ಪರಿಶೀಲನೆ
ಅವಲಂಬನೆ ಟ್ರ್ಯಾಕ್
ಒಟ್ಟು ದೋಷಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ
42
91
51
ತಪ್ಪಾಗಿ ಗುರುತಿಸಲಾದ ದುರ್ಬಲತೆಗಳು (ಸುಳ್ಳು ಧನಾತ್ಮಕ)
2 (4.76%)
62 (68,13%)
29 (56.86%)
ಯಾವುದೇ ಸಂಬಂಧಿತ ದೋಷಗಳು ಕಂಡುಬಂದಿಲ್ಲ (ತಪ್ಪು ಋಣಾತ್ಮಕ)
10
20
27
ಘಟಕದ ಮೂಲಕ ಸಾರಾಂಶ ಫಲಿತಾಂಶಗಳು:
ನಿಯತಾಂಕ
Nexus IQ
ಅವಲಂಬನೆ ಪರಿಶೀಲನೆ
ಅವಲಂಬನೆ ಟ್ರ್ಯಾಕ್
ಒಟ್ಟು ಘಟಕಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ
62
47
59
ಒಟ್ಟು ದುರ್ಬಲ ಘಟಕಗಳು
16
13
10
ತಪ್ಪಾಗಿ ಗುರುತಿಸಲಾದ ದುರ್ಬಲ ಘಟಕಗಳು (ತಪ್ಪು ಧನಾತ್ಮಕ)
1
5
0
ತಪ್ಪಾಗಿ ಗುರುತಿಸಲಾದ ದುರ್ಬಲ ಘಟಕಗಳು (ತಪ್ಪು ಧನಾತ್ಮಕ)
0
6
6
ಒಟ್ಟು ದೋಷಗಳ ಸಂಖ್ಯೆಗೆ ತಪ್ಪು ಧನಾತ್ಮಕ ಮತ್ತು ತಪ್ಪು ಋಣಾತ್ಮಕ ಅನುಪಾತವನ್ನು ಮೌಲ್ಯಮಾಪನ ಮಾಡಲು ದೃಷ್ಟಿಗೋಚರ ಗ್ರಾಫ್ಗಳನ್ನು ನಿರ್ಮಿಸೋಣ. ಘಟಕಗಳನ್ನು ಅಡ್ಡಲಾಗಿ ಗುರುತಿಸಲಾಗಿದೆ ಮತ್ತು ಅವುಗಳಲ್ಲಿ ಗುರುತಿಸಲಾದ ದುರ್ಬಲತೆಗಳನ್ನು ಲಂಬವಾಗಿ ಗುರುತಿಸಲಾಗಿದೆ.
ಹೋಲಿಕೆಗಾಗಿ, ಸೋನಾಟೈಪ್ ತಂಡವು OWASP ಅವಲಂಬನೆ ಪರಿಶೀಲನೆಯನ್ನು ಬಳಸಿಕೊಂಡು 1531 ಘಟಕಗಳ ಯೋಜನೆಯನ್ನು ಪರೀಕ್ಷಿಸುವ ಮೂಲಕ ಇದೇ ರೀತಿಯ ಅಧ್ಯಯನವನ್ನು ನಡೆಸಿತು. ನಾವು ನೋಡುವಂತೆ, ಸರಿಯಾದ ಪ್ರತಿಕ್ರಿಯೆಗಳಿಗೆ ಶಬ್ದದ ಅನುಪಾತವು ನಮ್ಮ ಫಲಿತಾಂಶಗಳಿಗೆ ಹೋಲಿಸಬಹುದು.
ಮೂಲ:
ಈ ಫಲಿತಾಂಶಗಳ ಕಾರಣವನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ನಮ್ಮ ಸ್ಕ್ಯಾನ್ ಫಲಿತಾಂಶಗಳಿಂದ ಕೆಲವು CVE ಗಳನ್ನು ನೋಡೋಣ.
ಹೆಚ್ಚು ಓದಿ
No.1
ಸೋನಾಟೈಪ್ ನೆಕ್ಸಸ್ ಐಕ್ಯೂ ಬಗ್ಗೆ ಕೆಲವು ಆಸಕ್ತಿದಾಯಕ ಅಂಶಗಳನ್ನು ಮೊದಲು ನೋಡೋಣ.
Nexus IQ ಸ್ಪ್ರಿಂಗ್ ಫ್ರೇಮ್ವರ್ಕ್ನಲ್ಲಿ RCE ಅನ್ನು ಹಲವು ಬಾರಿ ನಿರ್ವಹಿಸುವ ಸಾಮರ್ಥ್ಯದೊಂದಿಗೆ ಡೀಸರಲೈಸೇಶನ್ನ ಸಮಸ್ಯೆಯನ್ನು ಸೂಚಿಸುತ್ತದೆ. ವಸಂತ-ವೆಬ್:2016 ಮೊದಲ ಬಾರಿಗೆ CVE-1000027-3.0.5 ಮತ್ತು ವಸಂತ-ಸಂದರ್ಭದಲ್ಲಿ:2011 ಮತ್ತು ಸ್ಪ್ರಿಂಗ್-ಕೋರ್:2894 ರಲ್ಲಿ CVE-3.0.5-3.0.5. ಮೊದಲಿಗೆ, ಬಹು ಸಿವಿಇಗಳಲ್ಲಿ ದುರ್ಬಲತೆಯ ನಕಲು ಇದೆ ಎಂದು ತೋರುತ್ತಿದೆ. ಏಕೆಂದರೆ, ನೀವು NVD ಡೇಟಾಬೇಸ್ನಲ್ಲಿ CVE-2016-1000027 ಮತ್ತು CVE-2011-2894 ಅನ್ನು ನೋಡಿದರೆ, ಎಲ್ಲವೂ ಸ್ಪಷ್ಟವಾಗಿದೆ ಎಂದು ತೋರುತ್ತದೆ.
ಕಾಂಪೊನೆಂಟ್
ದುರ್ಬಲತೆ
ಸ್ಪ್ರಿಂಗ್-ವೆಬ್:3.0.5
CVE-2016-1000027
ವಸಂತ-ಸಂದರ್ಭ:3.0.5
CVE-2011-2894
ಸ್ಪ್ರಿಂಗ್-ಕೋರ್:3.0.5
CVE-2011-2894
ವಿವರಣೆ
ವಿವರಣೆ
CVE-2011-2894 ಸ್ವತಃ ಸಾಕಷ್ಟು ಪ್ರಸಿದ್ಧವಾಗಿದೆ. ವರದಿಯಲ್ಲಿ RemoteInvocationSerializingExporter
CVE-2011-2894 ರಲ್ಲಿ, ದುರ್ಬಲತೆಯನ್ನು ಗಮನಿಸಲಾಗಿದೆ HttpInvokerServiceExporter
. Nexus IQ ನಮಗೆ ಹೇಳುವುದು ಇದನ್ನೇ:
ಆದಾಗ್ಯೂ, NVD ಯಲ್ಲಿ ಈ ರೀತಿಯ ಏನೂ ಇಲ್ಲ, ಅದಕ್ಕಾಗಿಯೇ ಅವಲಂಬನೆ ಪರಿಶೀಲನೆ ಮತ್ತು ಅವಲಂಬನೆ ಟ್ರ್ಯಾಕ್ ಪ್ರತಿಯೊಂದೂ ತಪ್ಪು ನಕಾರಾತ್ಮಕತೆಯನ್ನು ಪಡೆಯುತ್ತದೆ.
CVE-2011-2894 ರ ವಿವರಣೆಯಿಂದ ಸ್ಪ್ರಿಂಗ್-ಸಂದರ್ಭ:3.0.5 ಮತ್ತು ಸ್ಪ್ರಿಂಗ್-ಕೋರ್:3.0.5 ಎರಡರಲ್ಲೂ ದುರ್ಬಲತೆಯು ನಿಜವಾಗಿ ಇರುತ್ತದೆ ಎಂದು ತಿಳಿಯಬಹುದು. ಈ ದುರ್ಬಲತೆಯನ್ನು ಕಂಡುಕೊಂಡ ವ್ಯಕ್ತಿಯಿಂದ ಲೇಖನವೊಂದರಲ್ಲಿ ಇದರ ದೃಢೀಕರಣವನ್ನು ಕಾಣಬಹುದು.
No.2
ಕಾಂಪೊನೆಂಟ್
ದುರ್ಬಲತೆ
ಪರಿಣಾಮವಾಗಿ
struts2-ಕೋರ್:2.3.30
CVE-2016-4003
ತಪ್ಪು
ನಾವು ದುರ್ಬಲತೆಯನ್ನು CVE-2016-4003 ಅನ್ನು ಅಧ್ಯಯನ ಮಾಡಿದರೆ, ಅದನ್ನು ಆವೃತ್ತಿ 2.3.28 ನಲ್ಲಿ ಸರಿಪಡಿಸಲಾಗಿದೆ ಎಂದು ನಾವು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುತ್ತೇವೆ, ಆದಾಗ್ಯೂ, Nexus IQ ಅದನ್ನು ನಮಗೆ ವರದಿ ಮಾಡುತ್ತದೆ. ದುರ್ಬಲತೆಯ ವಿವರಣೆಯಲ್ಲಿ ಒಂದು ಟಿಪ್ಪಣಿ ಇದೆ:
ಅಂದರೆ, ದುರ್ಬಲತೆಯು JRE ಯ ಹಳೆಯ ಆವೃತ್ತಿಯೊಂದಿಗೆ ಮಾತ್ರ ಅಸ್ತಿತ್ವದಲ್ಲಿದೆ, ಅವರು ನಮಗೆ ಎಚ್ಚರಿಕೆ ನೀಡಲು ನಿರ್ಧರಿಸಿದ್ದಾರೆ. ಅದೇನೇ ಇದ್ದರೂ, ನಾವು ಈ ತಪ್ಪು ಧನಾತ್ಮಕ ಎಂದು ಪರಿಗಣಿಸುತ್ತೇವೆ, ಆದರೂ ಕೆಟ್ಟದ್ದಲ್ಲ.
# 3
ಕಾಂಪೊನೆಂಟ್
ದುರ್ಬಲತೆ
ಪರಿಣಾಮವಾಗಿ
xwork-core:2.3.30
CVE-2017-9804
ಸರಿ
xwork-core:2.3.30
CVE-2017-7672
ತಪ್ಪು
ನಾವು CVE-2017-9804 ಮತ್ತು CVE-2017-7672 ನ ವಿವರಣೆಯನ್ನು ನೋಡಿದರೆ, ಸಮಸ್ಯೆ ಏನೆಂದು ನಮಗೆ ಅರ್ಥವಾಗುತ್ತದೆ. URLValidator class
, CVE-2017-9804 ಜೊತೆಗೆ CVE-2017-7672 ನಿಂದ ಹುಟ್ಟಿಕೊಂಡಿದೆ. ಎರಡನೆಯ ದುರ್ಬಲತೆಯ ಉಪಸ್ಥಿತಿಯು ಅದರ ತೀವ್ರತೆಯು ಹೆಚ್ಚಿನ ಮಟ್ಟಕ್ಕೆ ಏರಿದೆ ಎಂಬ ಅಂಶವನ್ನು ಹೊರತುಪಡಿಸಿ ಯಾವುದೇ ಉಪಯುಕ್ತ ಹೊರೆಯನ್ನು ಹೊಂದಿರುವುದಿಲ್ಲ, ಆದ್ದರಿಂದ ನಾವು ಅದನ್ನು ಅನಗತ್ಯ ಶಬ್ದವೆಂದು ಪರಿಗಣಿಸಬಹುದು.
ಒಟ್ಟಾರೆಯಾಗಿ, Nexus IQ ಗೆ ಬೇರೆ ಯಾವುದೇ ತಪ್ಪು ಧನಾತ್ಮಕ ಅಂಶಗಳು ಕಂಡುಬಂದಿಲ್ಲ.
No.4
ಐಕ್ಯೂ ಇತರ ಪರಿಹಾರಗಳಿಂದ ಎದ್ದು ಕಾಣುವಂತೆ ಮಾಡುವ ಹಲವಾರು ವಿಷಯಗಳಿವೆ.
ಕಾಂಪೊನೆಂಟ್
ದುರ್ಬಲತೆ
ಪರಿಣಾಮವಾಗಿ
ಸ್ಪ್ರಿಂಗ್-ವೆಬ್:3.0.5
CVE-2020-5398
ಸರಿ
NVD ಯಲ್ಲಿನ CVE ಇದು 5.2 ಕ್ಕಿಂತ ಮೊದಲು 5.2.3.x, 5.1 ಕ್ಕಿಂತ ಮೊದಲು 5.1.13.x ಮತ್ತು 5.0 ಕ್ಕಿಂತ ಮೊದಲು 5.0.16.x ಆವೃತ್ತಿಗಳಿಗೆ ಮಾತ್ರ ಅನ್ವಯಿಸುತ್ತದೆ ಎಂದು ಹೇಳುತ್ತದೆ, ಆದಾಗ್ಯೂ, ನಾವು Nexus IQ ನಲ್ಲಿ CVE ವಿವರಣೆಯನ್ನು ನೋಡಿದರೆ , ನಂತರ ನಾವು ಈ ಕೆಳಗಿನವುಗಳನ್ನು ನೋಡುತ್ತೇವೆ:
ಸಲಹಾ ವಿಚಲನ ಸೂಚನೆ: ಸೋನಾಟೈಪ್ ಭದ್ರತಾ ಸಂಶೋಧನಾ ತಂಡವು ಈ ದುರ್ಬಲತೆಯನ್ನು ಆವೃತ್ತಿ 3.0.2.ರಿಲೀಸ್ನಲ್ಲಿ ಪರಿಚಯಿಸಲಾಗಿದೆ ಮತ್ತು ಸಲಹೆಯಲ್ಲಿ ಹೇಳಿದಂತೆ 5.0.x ಅಲ್ಲ ಎಂದು ಕಂಡುಹಿಡಿದಿದೆ.
ಈ ದುರ್ಬಲತೆಗಾಗಿ PoC ಅನ್ನು ಅನುಸರಿಸುತ್ತದೆ, ಇದು ಆವೃತ್ತಿ 3.0.5 ನಲ್ಲಿದೆ ಎಂದು ಹೇಳುತ್ತದೆ.
ತಪ್ಪು ನಕಾರಾತ್ಮಕತೆಯನ್ನು ಅವಲಂಬನೆ ಪರಿಶೀಲನೆ ಮತ್ತು ಅವಲಂಬನೆ ಟ್ರ್ಯಾಕ್ಗೆ ಕಳುಹಿಸಲಾಗುತ್ತದೆ.
No.5
ಅವಲಂಬನೆ ಪರಿಶೀಲನೆ ಮತ್ತು ಅವಲಂಬನೆ ಟ್ರ್ಯಾಕ್ಗಾಗಿ ತಪ್ಪು ಧನಾತ್ಮಕತೆಯನ್ನು ನೋಡೋಣ.
ಅವಲಂಬನೆ ಪರಿಶೀಲನೆಯು ಎನ್ವಿಡಿಯಲ್ಲಿನ ಸಂಪೂರ್ಣ ಫ್ರೇಮ್ವರ್ಕ್ಗೆ ಅನ್ವಯಿಸುವ ಆ ಸಿವಿಇಗಳನ್ನು ಈ ಸಿವಿಇಗಳು ಅನ್ವಯಿಸದ ಘಟಕಗಳಿಗೆ ಪ್ರತಿಬಿಂಬಿಸುತ್ತದೆ. ಇದು CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016 ಅನ್ನು ಪರಿಶೀಲಿಸಲಾಗಿದೆ, “1182 ಅನ್ನು ಪರಿಶೀಲಿಸಲಾಗಿದೆ. ” ಗೆ struts-taglib:1.3.8 ಮತ್ತು struts-tiles-1.3.8. ಈ ಘಟಕಗಳು CVE - ವಿನಂತಿ ಪ್ರಕ್ರಿಯೆ, ಪುಟ ಮೌಲ್ಯೀಕರಣ ಮತ್ತು ಮುಂತಾದವುಗಳಲ್ಲಿ ವಿವರಿಸಿರುವುದರೊಂದಿಗೆ ಯಾವುದೇ ಸಂಬಂಧವನ್ನು ಹೊಂದಿಲ್ಲ. ಈ CVE ಗಳು ಮತ್ತು ಘಟಕಗಳು ಸಾಮಾನ್ಯವಾದ ಚೌಕಟ್ಟನ್ನು ಮಾತ್ರ ಹೊಂದಿರುವುದು ಇದಕ್ಕೆ ಕಾರಣ, ಅದಕ್ಕಾಗಿಯೇ ಅವಲಂಬನೆ ಪರಿಶೀಲನೆಯು ದುರ್ಬಲತೆಯನ್ನು ಪರಿಗಣಿಸಿದೆ.
ಅದೇ ಪರಿಸ್ಥಿತಿ ಸ್ಪ್ರಿಂಗ್-tx:3.0.5, ಮತ್ತು ಸ್ಟ್ರಟ್ಸ್-ಕೋರ್:1.3.8 ರೊಂದಿಗೆ ಇದೇ ರೀತಿಯ ಪರಿಸ್ಥಿತಿ. struts-core ಗಾಗಿ, ಅವಲಂಬನೆ ಪರಿಶೀಲನೆ ಮತ್ತು ಅವಲಂಬನೆ ಟ್ರ್ಯಾಕ್ ಸ್ಟ್ರಟ್ಸ್ 2-ಕೋರ್ಗೆ ವಾಸ್ತವವಾಗಿ ಅನ್ವಯವಾಗುವ ಬಹಳಷ್ಟು ದುರ್ಬಲತೆಗಳನ್ನು ಕಂಡುಹಿಡಿದಿದೆ, ಇದು ಮೂಲಭೂತವಾಗಿ ಪ್ರತ್ಯೇಕ ಚೌಕಟ್ಟಾಗಿದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, Nexus IQ ಚಿತ್ರವನ್ನು ಸರಿಯಾಗಿ ಅರ್ಥಮಾಡಿಕೊಂಡಿದೆ ಮತ್ತು ಅದು ಬಿಡುಗಡೆ ಮಾಡಿದ CVE ಗಳಲ್ಲಿ, struts-core ಜೀವನದ ಅಂತ್ಯವನ್ನು ತಲುಪಿದೆ ಮತ್ತು struts2-core ಗೆ ಚಲಿಸುವುದು ಅಗತ್ಯವಾಗಿದೆ ಎಂದು ಸೂಚಿಸುತ್ತದೆ.
No.6
ಕೆಲವು ಸಂದರ್ಭಗಳಲ್ಲಿ, ಸ್ಪಷ್ಟವಾದ ಅವಲಂಬನೆ ಪರಿಶೀಲನೆ ಮತ್ತು ಅವಲಂಬನೆ ಟ್ರ್ಯಾಕ್ ದೋಷವನ್ನು ಅರ್ಥೈಸುವುದು ಅನ್ಯಾಯವಾಗಿದೆ. ನಿರ್ದಿಷ್ಟವಾಗಿ CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014 Dependency ಪರಿಶೀಲಿಸಿ ಮತ್ತು ಸ್ಪ್ರಿಂಗ್-ಕೋರ್:0225 ಗೆ ಕಾರಣವಾದ ಟ್ರ್ಯಾಕ್ ವಾಸ್ತವವಾಗಿ ಸ್ಪ್ರಿಂಗ್-ವೆಬ್:3.0.5 ಗೆ ಸೇರಿದೆ. ಅದೇ ಸಮಯದಲ್ಲಿ, ಈ ಕೆಲವು CVE ಗಳು Nexus IQ ನಿಂದ ಕಂಡುಬಂದಿವೆ, ಆದಾಗ್ಯೂ, IQ ಅವುಗಳನ್ನು ಮತ್ತೊಂದು ಘಟಕಕ್ಕೆ ಸರಿಯಾಗಿ ಗುರುತಿಸಿದೆ. ಈ ದುರ್ಬಲತೆಗಳು ಸ್ಪ್ರಿಂಗ್-ಕೋರ್ನಲ್ಲಿ ಕಂಡುಬರದ ಕಾರಣ, ಅವು ತಾತ್ವಿಕವಾಗಿ ಚೌಕಟ್ಟಿನಲ್ಲಿಲ್ಲ ಎಂದು ವಾದಿಸಲಾಗುವುದಿಲ್ಲ ಮತ್ತು ತೆರೆದ ಮೂಲ ಉಪಕರಣಗಳು ಈ ದೋಷಗಳನ್ನು ಸರಿಯಾಗಿ ಎತ್ತಿ ತೋರಿಸಿವೆ (ಅವು ಸ್ವಲ್ಪ ತಪ್ಪಿಸಿಕೊಂಡಿವೆ).
ಸಂಶೋಧನೆಗಳು
ನಾವು ನೋಡುವಂತೆ, ಹಸ್ತಚಾಲಿತ ಪರಿಶೀಲನೆಯಿಂದ ಗುರುತಿಸಲ್ಪಟ್ಟ ದುರ್ಬಲತೆಗಳ ವಿಶ್ವಾಸಾರ್ಹತೆಯನ್ನು ನಿರ್ಧರಿಸುವುದು ನಿಸ್ಸಂದಿಗ್ಧ ಫಲಿತಾಂಶಗಳನ್ನು ನೀಡುವುದಿಲ್ಲ, ಅದಕ್ಕಾಗಿಯೇ ವಿವಾದಾತ್ಮಕ ಸಮಸ್ಯೆಗಳು ಉದ್ಭವಿಸುತ್ತವೆ. ಫಲಿತಾಂಶಗಳೆಂದರೆ Nexus IQ ಪರಿಹಾರವು ಕಡಿಮೆ ತಪ್ಪು ಧನಾತ್ಮಕ ದರ ಮತ್ತು ಹೆಚ್ಚಿನ ನಿಖರತೆಯನ್ನು ಹೊಂದಿದೆ.
ಮೊದಲನೆಯದಾಗಿ, ಸೊನಾಟೈಪ್ ತಂಡವು ಅದರ ಡೇಟಾಬೇಸ್ಗಳಲ್ಲಿ NVD ಯಿಂದ ಪ್ರತಿಯೊಂದು CVE ದುರ್ಬಲತೆಯ ವಿವರಣೆಯನ್ನು ವಿಸ್ತರಿಸಿದೆ, ಇದು ವರ್ಗ ಅಥವಾ ಕಾರ್ಯದವರೆಗೆ ಘಟಕಗಳ ನಿರ್ದಿಷ್ಟ ಆವೃತ್ತಿಗೆ ದುರ್ಬಲತೆಗಳನ್ನು ಸೂಚಿಸುತ್ತದೆ, ಹೆಚ್ಚುವರಿ ಸಂಶೋಧನೆ ನಡೆಸುತ್ತದೆ (ಉದಾಹರಣೆಗೆ. , ಹಳೆಯ ಸಾಫ್ಟ್ವೇರ್ ಆವೃತ್ತಿಗಳಲ್ಲಿನ ದೋಷಗಳನ್ನು ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ).
ಫಲಿತಾಂಶಗಳ ಮೇಲೆ ಪ್ರಮುಖವಾದ ಪ್ರಭಾವವನ್ನು ಎನ್ವಿಡಿಯಲ್ಲಿ ಸೇರಿಸದ ಆ ದುರ್ಬಲತೆಗಳು ಸಹ ಆಡುತ್ತವೆ, ಆದರೆ ಸೋನಾಟೈಪ್ ಡೇಟಾಬೇಸ್ನಲ್ಲಿ ಸೋನಾಟೈಪ್ ಮಾರ್ಕ್ನೊಂದಿಗೆ ಇರುತ್ತವೆ. ವರದಿಯ ಪ್ರಕಾರ
ಪರಿಣಾಮವಾಗಿ, ಅವಲಂಬನೆ ಪರಿಶೀಲನೆಯು ಬಹಳಷ್ಟು ಶಬ್ದವನ್ನು ಉಂಟುಮಾಡುತ್ತದೆ, ಕೆಲವು ದುರ್ಬಲ ಘಟಕಗಳನ್ನು ಕಾಣೆಯಾಗಿದೆ. ಅವಲಂಬನೆ ಟ್ರ್ಯಾಕ್ ಕಡಿಮೆ ಶಬ್ದವನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ ಮತ್ತು ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ಘಟಕಗಳನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ, ಇದು ವೆಬ್ ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿ ದೃಷ್ಟಿಗೋಚರವಾಗಿ ಕಣ್ಣುಗಳನ್ನು ನೋಯಿಸುವುದಿಲ್ಲ.
ಆದಾಗ್ಯೂ, ಪ್ರಬುದ್ಧ DevSecOps ಕಡೆಗೆ ತೆರೆದ ಮೂಲವು ಮೊದಲ ಹಂತಗಳಾಗಬೇಕು ಎಂದು ಅಭ್ಯಾಸವು ತೋರಿಸುತ್ತದೆ. SCA ಅನ್ನು ಅಭಿವೃದ್ಧಿಗೆ ಸಂಯೋಜಿಸುವಾಗ ನೀವು ಯೋಚಿಸಬೇಕಾದ ಮೊದಲ ವಿಷಯವೆಂದರೆ ಪ್ರಕ್ರಿಯೆಗಳು, ಅವುಗಳೆಂದರೆ, ನಿಮ್ಮ ಸಂಸ್ಥೆಯಲ್ಲಿ ಆದರ್ಶ ಪ್ರಕ್ರಿಯೆಗಳು ಹೇಗಿರಬೇಕು ಎಂಬುದರ ಕುರಿತು ನಿರ್ವಹಣೆ ಮತ್ತು ಸಂಬಂಧಿತ ಇಲಾಖೆಗಳೊಂದಿಗೆ ಒಟ್ಟಾಗಿ ಯೋಚಿಸುವುದು. ನಿಮ್ಮ ಸಂಸ್ಥೆಗೆ, ಮೊದಲಿಗೆ, ಡಿಪೆಂಡೆನ್ಸಿ ಚೆಕ್ ಅಥವಾ ಡಿಪೆಂಡೆನ್ಸಿ ಟ್ರ್ಯಾಕ್ ಎಲ್ಲಾ ವ್ಯವಹಾರ ಅಗತ್ಯಗಳನ್ನು ಪೂರೈಸುತ್ತದೆ ಮತ್ತು ಅಭಿವೃದ್ಧಿಗೊಳ್ಳುತ್ತಿರುವ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಸಂಕೀರ್ಣತೆಯಿಂದಾಗಿ ಎಂಟರ್ಪ್ರೈಸ್ ಪರಿಹಾರಗಳು ತಾರ್ಕಿಕ ಮುಂದುವರಿಕೆಯಾಗಿರುತ್ತವೆ.
ಅನುಬಂಧ A: ಘಟಕ ಫಲಿತಾಂಶಗಳು
ಲೆಜೆಂಡ್:
- ಘಟಕದಲ್ಲಿನ ಉನ್ನತ-ಉನ್ನತ ಮತ್ತು ನಿರ್ಣಾಯಕ ಮಟ್ಟದ ದುರ್ಬಲತೆಗಳು
- ಮಧ್ಯಮ - ಘಟಕದಲ್ಲಿನ ಮಧ್ಯಮ ವಿಮರ್ಶಾತ್ಮಕತೆಯ ಮಟ್ಟದ ದುರ್ಬಲತೆಗಳು
- ನಿಜ - ನಿಜವಾದ ಧನಾತ್ಮಕ ಸಮಸ್ಯೆ
- ತಪ್ಪು - ತಪ್ಪು ಧನಾತ್ಮಕ ಸಮಸ್ಯೆ
ಕಾಂಪೊನೆಂಟ್
Nexus IQ
ಅವಲಂಬನೆ ಪರಿಶೀಲನೆ
ಅವಲಂಬನೆ ಟ್ರ್ಯಾಕ್
ಪರಿಣಾಮವಾಗಿ
dom4j: 1.6.1
ಹೈ
ಹೈ
ಹೈ
ಸರಿ
log4j-core: 2.3
ಹೈ
ಹೈ
ಹೈ
ಸರಿ
log4j: 1.2.14
ಹೈ
ಹೈ
-
ಸರಿ
ಕಾಮನ್ಸ್-ಸಂಗ್ರಹಣೆಗಳು:3.1
ಹೈ
ಹೈ
ಹೈ
ಸರಿ
ಕಾಮನ್ಸ್-ಫೈಲ್ಅಪ್ಲೋಡ್:1.3.2
ಹೈ
ಹೈ
ಹೈ
ಸರಿ
ಕಾಮನ್ಸ್-ಬೀನುಟಿಲ್ಸ್:1.7.0
ಹೈ
ಹೈ
ಹೈ
ಸರಿ
ಕಾಮನ್ಸ್-ಕೋಡೆಕ್:1:10
ಮಧ್ಯಮ
-
-
ಸರಿ
mysql-ಕನೆಕ್ಟರ್-ಜಾವಾ:5.1.42
ಹೈ
ಹೈ
ಹೈ
ಸರಿ
ವಸಂತ-ಅಭಿವ್ಯಕ್ತಿ:3.0.5
ಹೈ
ಘಟಕ ಕಂಡುಬಂದಿಲ್ಲ
ಸರಿ
ಸ್ಪ್ರಿಂಗ್-ವೆಬ್:3.0.5
ಹೈ
ಘಟಕ ಕಂಡುಬಂದಿಲ್ಲ
ಹೈ
ಸರಿ
ವಸಂತ-ಸಂದರ್ಭ:3.0.5
ಮಧ್ಯಮ
ಘಟಕ ಕಂಡುಬಂದಿಲ್ಲ
-
ಸರಿ
ಸ್ಪ್ರಿಂಗ್-ಕೋರ್:3.0.5
ಮಧ್ಯಮ
ಹೈ
ಹೈ
ಸರಿ
struts2-config-browser-plugin:2.3.30
ಮಧ್ಯಮ
-
-
ಸರಿ
ವಸಂತ-tx:3.0.5
-
ಹೈ
-
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಸ್-ಕೋರ್:1.3.8
ಹೈ
ಹೈ
ಹೈ
ಸರಿ
xwork-core: 2.3.30
ಹೈ
-
-
ಸರಿ
struts2-ಕೋರ್: 2.3.30
ಹೈ
ಹೈ
ಹೈ
ಸರಿ
ಸ್ಟ್ರಟ್ಸ್-ಟ್ಯಾಗ್ಲಿಬ್:1.3.8
-
ಹೈ
-
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಸ್-ಟೈಲ್ಸ್-1.3.8
-
ಹೈ
-
ತಪ್ಪು
ಅನುಬಂಧ ಬಿ: ದುರ್ಬಲತೆಯ ಫಲಿತಾಂಶಗಳು
ಲೆಜೆಂಡ್:
- ಘಟಕದಲ್ಲಿನ ಉನ್ನತ-ಉನ್ನತ ಮತ್ತು ನಿರ್ಣಾಯಕ ಮಟ್ಟದ ದುರ್ಬಲತೆಗಳು
- ಮಧ್ಯಮ - ಘಟಕದಲ್ಲಿನ ಮಧ್ಯಮ ವಿಮರ್ಶಾತ್ಮಕತೆಯ ಮಟ್ಟದ ದುರ್ಬಲತೆಗಳು
- ನಿಜ - ನಿಜವಾದ ಧನಾತ್ಮಕ ಸಮಸ್ಯೆ
- ತಪ್ಪು - ತಪ್ಪು ಧನಾತ್ಮಕ ಸಮಸ್ಯೆ
ಕಾಂಪೊನೆಂಟ್
Nexus IQ
ಅವಲಂಬನೆ ಪರಿಶೀಲನೆ
ಅವಲಂಬನೆ ಟ್ರ್ಯಾಕ್
ತೀವ್ರತೆ
ಪರಿಣಾಮವಾಗಿ
ಕಾಮೆಂಟ್
dom4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
ಹೈ
ಸರಿ
CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
ಹೈ
ಸರಿ
log4j-core: 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
ಹೈ
ಸರಿ
CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
ಕಡಿಮೆ
ಸರಿ
log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
ಹೈ
ಸರಿ
-
CVE-2020-9488
-
ಕಡಿಮೆ
ಸರಿ
ಸೋನಾಟೈಪ್-2010-0053
-
-
ಹೈ
ಸರಿ
ಕಾಮನ್ಸ್-ಸಂಗ್ರಹಣೆಗಳು:3.1
-
CVE-2015-6420
CVE-2015-6420
ಹೈ
ತಪ್ಪು
ನಕಲುಗಳು RCE(OSSINDEX)
-
CVE-2017-15708
CVE-2017-15708
ಹೈ
ತಪ್ಪು
ನಕಲುಗಳು RCE(OSSINDEX)
ಸೋನಾಟೈಪ್-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
ಹೈ
ಸರಿ
ಕಾಮನ್ಸ್-ಫೈಲ್ಅಪ್ಲೋಡ್:1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
ಹೈ
ಸರಿ
ಸೋನಾಟೈಪ್-2014-0173
-
-
ಮಧ್ಯಮ
ಸರಿ
ಕಾಮನ್ಸ್-ಬೀನುಟಿಲ್ಸ್:1.7.0
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
ಹೈ
ಸರಿ
-
CVE-2019-10086
CVE-2019-10086
ಹೈ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು 1.9.2+ ಆವೃತ್ತಿಗಳಿಗೆ ಮಾತ್ರ ಅನ್ವಯಿಸುತ್ತದೆ
ಕಾಮನ್ಸ್-ಕೋಡೆಕ್:1:10
ಸೋನಾಟೈಪ್-2012-0050
-
-
ಮಧ್ಯಮ
ಸರಿ
mysql-ಕನೆಕ್ಟರ್-ಜಾವಾ:5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
ಹೈ
ಸರಿ
CVE-2019-2692
CVE-2019-2692
-
ಮಧ್ಯಮ
ಸರಿ
-
CVE-2020-2875
-
ಮಧ್ಯಮ
ತಪ್ಪು
CVE-2019-2692 ರಂತೆ ಅದೇ ದುರ್ಬಲತೆ, ಆದರೆ ಟಿಪ್ಪಣಿಯೊಂದಿಗೆ "ದಾಳಿಗಳು ಹೆಚ್ಚುವರಿ ಉತ್ಪನ್ನಗಳ ಮೇಲೆ ಗಮನಾರ್ಹವಾಗಿ ಪರಿಣಾಮ ಬೀರಬಹುದು"
-
CVE-2017-15945
-
ಹೈ
ತಪ್ಪು
mysql-connector-java ಗೆ ಸಂಬಂಧಿಸಿಲ್ಲ
-
CVE-2020-2933
-
ಕಡಿಮೆ
ತಪ್ಪು
CVE-2020-2934 ನ ನಕಲು
CVE-2020-2934
CVE-2020-2934
-
ಮಧ್ಯಮ
ಸರಿ
ವಸಂತ-ಅಭಿವ್ಯಕ್ತಿ:3.0.5
CVE-2018-1270
ಘಟಕ ಕಂಡುಬಂದಿಲ್ಲ
-
ಹೈ
ಸರಿ
CVE-2018-1257
-
-
ಮಧ್ಯಮ
ಸರಿ
ಸ್ಪ್ರಿಂಗ್-ವೆಬ್:3.0.5
CVE-2016-1000027
ಘಟಕ ಕಂಡುಬಂದಿಲ್ಲ
-
ಹೈ
ಸರಿ
CVE-2014-0225
-
CVE-2014-0225
ಹೈ
ಸರಿ
CVE-2011-2730
-
-
ಹೈ
ಸರಿ
-
-
CVE-2013-4152
ಮಧ್ಯಮ
ಸರಿ
CVE-2018-1272
-
-
ಹೈ
ಸರಿ
CVE-2020-5398
-
-
ಹೈ
ಸರಿ
IQ ಪರವಾಗಿ ಒಂದು ವಿವರಣಾತ್ಮಕ ಉದಾಹರಣೆ: "ಸೋನಾಟೈಪ್ ಭದ್ರತಾ ಸಂಶೋಧನಾ ತಂಡವು ಈ ದುರ್ಬಲತೆಯನ್ನು ಆವೃತ್ತಿ 3.0.2.ರಿಲೀಸ್ನಲ್ಲಿ ಪರಿಚಯಿಸಲಾಗಿದೆ ಮತ್ತು ಸಲಹೆಯಲ್ಲಿ ಹೇಳಿದಂತೆ 5.0.x ಅಲ್ಲ ಎಂದು ಕಂಡುಹಿಡಿದಿದೆ."
CVE-2013-6429
-
-
ಮಧ್ಯಮ
ಸರಿ
CVE-2014-0054
-
CVE-2014-0054
ಮಧ್ಯಮ
ಸರಿ
CVE-2013-6430
-
-
ಮಧ್ಯಮ
ಸರಿ
ವಸಂತ-ಸಂದರ್ಭ:3.0.5
CVE-2011-2894
ಘಟಕ ಕಂಡುಬಂದಿಲ್ಲ
-
ಮಧ್ಯಮ
ಸರಿ
ಸ್ಪ್ರಿಂಗ್-ಕೋರ್:3.0.5
-
CVE-2011-2730
CVE-2011-2730
ಹೈ
ಸರಿ
CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
ಮಧ್ಯಮ
ಸರಿ
-
-
CVE-2013-4152
ಮಧ್ಯಮ
ತಪ್ಪು
ಸ್ಪ್ರಿಂಗ್-ವೆಬ್ನಲ್ಲಿ ಅದೇ ದುರ್ಬಲತೆಯ ನಕಲು
-
CVE-2013-4152
-
ಮಧ್ಯಮ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ವೆಬ್ ಘಟಕಕ್ಕೆ ಸಂಬಂಧಿಸಿದೆ
-
CVE-2013-6429
CVE-2013-6429
ಮಧ್ಯಮ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ವೆಬ್ ಘಟಕಕ್ಕೆ ಸಂಬಂಧಿಸಿದೆ
-
CVE-2013-6430
-
ಮಧ್ಯಮ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ವೆಬ್ ಘಟಕಕ್ಕೆ ಸಂಬಂಧಿಸಿದೆ
-
CVE-2013-7315
CVE-2013-7315
ಮಧ್ಯಮ
ತಪ್ಪು
CVE-2013-4152 ರಿಂದ SPLIT. + ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ವೆಬ್ ಘಟಕಕ್ಕೆ ಸಂಬಂಧಿಸಿದೆ
-
CVE-2014-0054
CVE-2014-0054
ಮಧ್ಯಮ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ವೆಬ್ ಘಟಕಕ್ಕೆ ಸಂಬಂಧಿಸಿದೆ
-
CVE-2014-0225
-
ಹೈ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ವೆಬ್ ಘಟಕಕ್ಕೆ ಸಂಬಂಧಿಸಿದೆ
-
-
CVE-2014-0225
ಹೈ
ತಪ್ಪು
ಸ್ಪ್ರಿಂಗ್-ವೆಬ್ನಲ್ಲಿ ಅದೇ ದುರ್ಬಲತೆಯ ನಕಲು
-
CVE-2014-1904
CVE-2014-1904
ಮಧ್ಯಮ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ವೆಬ್-ಎಂವಿಸಿ ಘಟಕಕ್ಕೆ ಸಂಬಂಧಿಸಿದೆ
-
CVE-2014-3625
CVE-2014-3625
ಮಧ್ಯಮ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ವೆಬ್-ಎಂವಿಸಿ ಘಟಕಕ್ಕೆ ಸಂಬಂಧಿಸಿದೆ
-
CVE-2016-9878
CVE-2016-9878
ಹೈ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ವೆಬ್-ಎಂವಿಸಿ ಘಟಕಕ್ಕೆ ಸಂಬಂಧಿಸಿದೆ
-
CVE-2018-1270
CVE-2018-1270
ಹೈ
ತಪ್ಪು
ವಸಂತ-ಅಭಿವ್ಯಕ್ತಿ/ವಸಂತ-ಸಂದೇಶಗಳಿಗಾಗಿ
-
CVE-2018-1271
CVE-2018-1271
ಮಧ್ಯಮ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ವೆಬ್-ಎಂವಿಸಿ ಘಟಕಕ್ಕೆ ಸಂಬಂಧಿಸಿದೆ
-
CVE-2018-1272
CVE-2018-1272
ಹೈ
ಸರಿ
CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
ಮಧ್ಯಮ
ಸರಿ
ಸೋನಾಟೈಪ್-2015-0327
-
-
ಕಡಿಮೆ
ಸರಿ
struts2-config-browser-plugin:2.3.30
ಸೋನಾಟೈಪ್-2016-0104
-
-
ಮಧ್ಯಮ
ಸರಿ
ವಸಂತ-tx:3.0.5
-
CVE-2011-2730
-
ಹೈ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ಟಿಎಕ್ಸ್ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ
-
CVE-2011-2894
-
ಹೈ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ಟಿಎಕ್ಸ್ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ
-
CVE-2013-4152
-
ಮಧ್ಯಮ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ಟಿಎಕ್ಸ್ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ
-
CVE-2013-6429
-
ಮಧ್ಯಮ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ಟಿಎಕ್ಸ್ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ
-
CVE-2013-6430
-
ಮಧ್ಯಮ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ಟಿಎಕ್ಸ್ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ
-
CVE-2013-7315
-
ಮಧ್ಯಮ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ಟಿಎಕ್ಸ್ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ
-
CVE-2014-0054
-
ಮಧ್ಯಮ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ಟಿಎಕ್ಸ್ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ
-
CVE-2014-0225
-
ಹೈ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ಟಿಎಕ್ಸ್ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ
-
CVE-2014-1904
-
ಮಧ್ಯಮ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ಟಿಎಕ್ಸ್ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ
-
CVE-2014-3625
-
ಮಧ್ಯಮ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ಟಿಎಕ್ಸ್ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ
-
CVE-2016-9878
-
ಹೈ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ಟಿಎಕ್ಸ್ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ
-
CVE-2018-1270
-
ಹೈ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ಟಿಎಕ್ಸ್ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ
-
CVE-2018-1271
-
ಮಧ್ಯಮ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ಟಿಎಕ್ಸ್ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ
-
CVE-2018-1272
-
ಮಧ್ಯಮ
ತಪ್ಪು
ದುರ್ಬಲತೆಯು ಸ್ಪ್ರಿಂಗ್-ಟಿಎಕ್ಸ್ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ
ಸ್ಟ್ರಟ್ಸ್-ಕೋರ್:1.3.8
-
CVE-2011-5057 (OSSINDEX)
ಮಧ್ಯಮ
FASLE
ಸ್ಟ್ರಟ್ಗಳಿಗೆ ದುರ್ಬಲತೆ 2
-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
ಹೈ
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಗಳಿಗೆ ದುರ್ಬಲತೆ 2
-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
ಮಧ್ಯಮ
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಗಳಿಗೆ ದುರ್ಬಲತೆ 2
-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
ಹೈ
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಗಳಿಗೆ ದುರ್ಬಲತೆ 2
CVE-2016-1182
3VE-2016-1182
-
ಹೈ
ಸರಿ
-
-
CVE-2011-5057
ಮಧ್ಯಮ
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಗಳಿಗೆ ದುರ್ಬಲತೆ 2
-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
ಹೈ
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಗಳಿಗೆ ದುರ್ಬಲತೆ 2
-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
ಮಧ್ಯಮ
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಗಳಿಗೆ ದುರ್ಬಲತೆ 2
CVE-2015-0899
CVE-2015-0899
-
ಹೈ
ಸರಿ
-
CVE-2012-0394
CVE-2012-0394
ಮಧ್ಯಮ
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಗಳಿಗೆ ದುರ್ಬಲತೆ 2
-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
ಹೈ
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಗಳಿಗೆ ದುರ್ಬಲತೆ 2
-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
ಹೈ
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಗಳಿಗೆ ದುರ್ಬಲತೆ 2
-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
ಹೈ
FASLE
ಸ್ಟ್ರಟ್ಗಳಿಗೆ ದುರ್ಬಲತೆ 2
-
CVE-2013-2115
CVE-2013-2115
ಹೈ
FASLE
ಸ್ಟ್ರಟ್ಗಳಿಗೆ ದುರ್ಬಲತೆ 2
-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
ಹೈ
FASLE
ಸ್ಟ್ರಟ್ಗಳಿಗೆ ದುರ್ಬಲತೆ 2
-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
ಹೈ
FASLE
ಸ್ಟ್ರಟ್ಗಳಿಗೆ ದುರ್ಬಲತೆ 2
CVE-2014-0114
CVE-2014-0114
-
ಹೈ
ಸರಿ
-
CVE-2015-2992
CVE-2015-2992
ಮಧ್ಯಮ
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಗಳಿಗೆ ದುರ್ಬಲತೆ 2
-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
ಹೈ
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಗಳಿಗೆ ದುರ್ಬಲತೆ 2
CVE-2016-1181
CVE-2016-1181
-
ಹೈ
ಸರಿ
-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
ಹೈ
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಗಳಿಗೆ ದುರ್ಬಲತೆ 2
xwork-core:2.3.30
CVE-2017-9804
-
-
ಹೈ
ಸರಿ
ಸೋನಾಟೈಪ್-2017-0173
-
-
ಹೈ
ಸರಿ
CVE-2017-7672
-
-
ಹೈ
ತಪ್ಪು
CVE-2017-9804 ನ ನಕಲು
ಸೋನಾಟೈಪ್-2016-0127
-
-
ಹೈ
ಸರಿ
struts2-ಕೋರ್:2.3.30
-
CVE-2016-6795
CVE-2016-6795
ಹೈ
ಸರಿ
-
CVE-2017-9787
CVE-2017-9787
ಹೈ
ಸರಿ
-
CVE-2017-9791
CVE-2017-9791
ಹೈ
ಸರಿ
-
CVE-2017-9793
-
ಹೈ
ತಪ್ಪು
CVE-2018-1327 ನ ನಕಲು
-
CVE-2017-9804
-
ಹೈ
ಸರಿ
-
CVE-2017-9805
CVE-2017-9805
ಹೈ
ಸರಿ
CVE-2016-4003
-
-
ಮಧ್ಯಮ
ತಪ್ಪು
Apache Struts 2.x ಗೆ 2.3.28 ವರೆಗೆ ಅನ್ವಯಿಸುತ್ತದೆ, ಇದು ಆವೃತ್ತಿ 2.3.30 ಆಗಿದೆ. ಆದಾಗ್ಯೂ, ವಿವರಣೆಯ ಆಧಾರದ ಮೇಲೆ, JRE 2 ಅಥವಾ ಅದಕ್ಕಿಂತ ಕಡಿಮೆ ಬಳಸಿದರೆ ಸ್ಟ್ರಟ್ಸ್ 1.7 ನ ಯಾವುದೇ ಆವೃತ್ತಿಗೆ CVE ಮಾನ್ಯವಾಗಿರುತ್ತದೆ. ಸ್ಪಷ್ಟವಾಗಿ ಅವರು ನಮಗೆ ಇಲ್ಲಿ ಮರುವಿಮೆ ಮಾಡಲು ನಿರ್ಧರಿಸಿದ್ದಾರೆ, ಆದರೆ ಇದು ಹೆಚ್ಚು ತಪ್ಪಾಗಿ ಕಾಣುತ್ತದೆ
-
CVE-2018-1327
CVE-2018-1327
ಹೈ
ಸರಿ
CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
ಹೈ
ಸರಿ
2017 ರಲ್ಲಿ Equifax ಹ್ಯಾಕರ್ಗಳು ದುರ್ಬಳಕೆ ಮಾಡಿಕೊಂಡ ಅದೇ ದುರ್ಬಲತೆ
CVE-2017-12611
CVE-2017-12611
-
ಹೈ
ಸರಿ
CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
ಹೈ
ಸರಿ
ಸ್ಟ್ರಟ್ಸ್-ಟ್ಯಾಗ್ಲಿಬ್:1.3.8
-
CVE-2012-0394
-
ಮಧ್ಯಮ
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಸ್2-ಕೋರ್ಗಾಗಿ
-
CVE-2013-2115
-
ಹೈ
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಸ್2-ಕೋರ್ಗಾಗಿ
-
CVE-2014-0114
-
ಹೈ
ತಪ್ಪು
ಕಾಮನ್ಸ್-ಬೀನುಟಿಲ್ಸ್ಗಾಗಿ
-
CVE-2015-0899
-
ಹೈ
ತಪ್ಪು
ಟ್ಯಾಗ್ಲಿಬ್ಗೆ ಅನ್ವಯಿಸುವುದಿಲ್ಲ
-
CVE-2015-2992
-
ಮಧ್ಯಮ
ತಪ್ಪು
struts2-core ಅನ್ನು ಉಲ್ಲೇಖಿಸುತ್ತದೆ
-
CVE-2016-1181
-
ಹೈ
ತಪ್ಪು
ಟ್ಯಾಗ್ಲಿಬ್ಗೆ ಅನ್ವಯಿಸುವುದಿಲ್ಲ
-
CVE-2016-1182
-
ಹೈ
ತಪ್ಪು
ಟ್ಯಾಗ್ಲಿಬ್ಗೆ ಅನ್ವಯಿಸುವುದಿಲ್ಲ
ಸ್ಟ್ರಟ್ಸ್-ಟೈಲ್ಸ್-1.3.8
-
CVE-2012-0394
-
ಮಧ್ಯಮ
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಸ್2-ಕೋರ್ಗಾಗಿ
-
CVE-2013-2115
-
ಹೈ
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಸ್2-ಕೋರ್ಗಾಗಿ
-
CVE-2014-0114
-
ಹೈ
ತಪ್ಪು
ಕಾಮನ್ಸ್-ಬೀನುಟಿಲ್ಸ್ ಅಡಿಯಲ್ಲಿ
-
CVE-2015-0899
-
ಹೈ
ತಪ್ಪು
ಅಂಚುಗಳಿಗೆ ಅನ್ವಯಿಸುವುದಿಲ್ಲ
-
CVE-2015-2992
-
ಮಧ್ಯಮ
ತಪ್ಪು
ಸ್ಟ್ರಟ್ಸ್2-ಕೋರ್ಗಾಗಿ
-
CVE-2016-1181
-
ಹೈ
ತಪ್ಪು
ಟ್ಯಾಗ್ಲಿಬ್ಗೆ ಅನ್ವಯಿಸುವುದಿಲ್ಲ
-
CVE-2016-1182
-
ಹೈ
ತಪ್ಪು
ಟ್ಯಾಗ್ಲಿಬ್ಗೆ ಅನ್ವಯಿಸುವುದಿಲ್ಲ
ಮೂಲ: www.habr.com