DevSecOps: SCA의 작동 및 비교 원칙. XNUMX부

Synopsys, Sonatype, Snyk, White Source에서 발표하는 오픈 소스 라이브러리의 취약점에 대한 연례 보고서가 발표되면서 개발 프로세스에서 타사 소프트웨어 구성 요소 분석(English Software Composition Analysis - SCA)의 중요성이 커지고 있습니다. 보고서에 따르면 2020년 오픈 소스 보안 취약성 현황 2019년 오픈 소스에서 확인된 취약점의 수는 전년도에 비해 거의 1.5배 증가했으며 오픈 소스 구성 요소는 프로젝트의 60%~80%에서 사용됩니다. 독립적인 의견으로는 SCA 프로세스는 성숙도 지표로서 OWASP SAMM 및 BSIMM과는 별도의 관행이며, 2020년 상반기에 OWASP는 타사 검증을 위한 모범 사례를 제공하는 새로운 OWASP SCVS(Software Component Verification Standard)를 발표했습니다. 공급망의 구성 요소 BY.

가장 대표적인 사례 중 하나 일어났다 2017년 143월 Equifax와 함께. 알려지지 않은 공격자들이 전체 이름, 주소, 주민등록번호 및 운전면허증을 포함하여 약 209억 000만 명의 미국인에 대한 정보를 입수했습니다. 2 건의 문서에는 피해자의 은행 카드에 대한 정보도 포함되었습니다. 이 유출은 Apache Struts 2017(CVE-5638-2017)의 치명적인 취약점을 악용한 결과 발생했으며 수정 사항은 XNUMX년 XNUMX월에 릴리스되었습니다. 회사는 업데이트를 설치하는 데 두 달이 걸렸지만 아무도 그것에 대해 신경쓰지 않았습니다.

이 기사에서는 분석 결과의 품질 측면에서 SCA 수행 도구를 선택하는 문제에 대해 설명합니다. 기기의 기능 비교도 제공됩니다. CI/CD에 임베딩하는 과정과 차후 출판을 위한 통합 기회는 남겨두겠습니다. OWASP는 다양한 도구를 도입했습니다. 당신의 웹사이트에, 그러나 현재 검토의 일부로 가장 인기 있는 오픈 소스 종속성 검사 도구, 약간 덜 알려진 오픈 소스 종속성 추적 플랫폼 및 Sonatype Nexus IQ Enterprise 솔루션에 대해서만 다룰 것입니다. 또한 이러한 솔루션의 작동 방식을 이해하고 오탐에 대해 얻은 결과를 비교할 것입니다.

운영 원칙

종속성 확인 프로젝트 파일을 분석하고 종속성에 대한 정보 조각(패키지 이름, 그룹 ID, 사양 제목, 버전 ...)을 수집하고 CPE 문자열을 빌드하는 유틸리티(CLI, maven, jenkins 모듈, ant)입니다. - (Common Platform Enumeration ), 패키지 URL( PURL) 및 데이터베이스(NVD, Sonatype OSS 인덱스, NPM 감사 API…)에서 CPE/PURL에 대한 취약점을 탐지한 후 HTML, JSON, XML 형식으로 일회성 보고서를 작성합니다…

CPE의 모습을 고려하십시오.

cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other

• 부품: 구성 요소가 응용 프로그램(a), 운영 체제(o), 하드웨어(h)에 속한다는 표시(필수 항목)
• 공급 업체 : 제품 제조사명 (필수항목)
• 생성물: 상품명(필수)
• 버전 : 구성 요소 버전(사용되지 않는 항목)
• 업데이트 : 패키지 업데이트
• 판 : 상속된 버전(사용되지 않는 항목)
• 언어 : RFC-5646에 정의된 언어
• SW 에디션: 소프트웨어 버전
• 대상 소프트웨어: 제품이 실행되는 소프트웨어 환경
• 대상 HW: 제품이 실행되는 하드웨어 환경
• 다른: 공급자 또는 제품 정보

CPE의 예는 다음과 같습니다.

cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*

문자열은 CPE 버전 2.3이 제조업체의 애플리케이션 구성 요소를 설명함을 의미합니다. pivotal_software 제목으로 spring_framework 버전 3.0.0. 취약점을 열면 CVE-2014-0225 NVD에서 이 CPE에 대한 언급을 볼 수 있습니다. 즉시 주목해야 할 첫 번째 문제는 CPE에 따르면 NVD의 CVE가 특정 구성 요소가 아닌 프레임워크에 문제가 있음을 보고한다는 것입니다. 즉, 개발자가 프레임워크에 긴밀하게 연결되어 있고 식별된 취약점이 개발자가 사용하는 모듈에 적용되지 않는 경우 보안 전문가는 어떻게든 이 CVE를 분해하고 업데이트를 고려해야 합니다.

URL은 SCA 도구에서도 사용됩니다. 패키지 URL 형식은 다음과 같습니다.

scheme:type/namespace/name@version?qualifiers#subpath

• 계획: 이것이 패키지 URL임을 나타내는 'pkg'가 항상 있습니다(필수).
• 유형: 패키지의 "유형" 또는 패키지의 "프로토콜"(예: maven, npm, nuget, gem, pypi 등) (필수항목)
• 네임 스페이스 : Maven 그룹 ID, Docker 이미지 소유자, GitHub 사용자 또는 조직과 같은 일부 이름 접두사. 선택 사항이며 유형에 따라 다릅니다.
• 이름: 패키지 이름(필수)
• 버전 : 패키지 버전
• 예선 : OS, 아키텍처, 배포 등과 같은 패키지에 대한 추가 자격 데이터입니다. 선택적 및 유형별 항목입니다.
• 하위 경로: 패키지의 루트에 상대적인 패키지의 추가 경로

예를 들면 다음과 같습니다

pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]

종속성 추적 — 생성된 기성품 명세서(BOM)를 허용하는 온프레미스 웹 플랫폼 사이클론DX и SPDX즉, 사용 가능한 종속성에 대한 기성 사양입니다. 이것은 이름, 해시, 패키지 URL, 게시자, 라이센스와 같은 종속성에 대한 설명이 포함된 XML 파일입니다. 다음으로 종속성 추적은 BOM을 구문 분석하고 취약성 데이터베이스(NVD, Sonatype OSS Index ...)에서 식별된 종속성에 사용할 수 있는 CVE를 확인한 다음 그래프를 작성하고 메트릭을 계산하며 구성 요소의 취약성 상태에 대한 데이터를 정기적으로 업데이트합니다. .

BOM이 XML 형식으로 표시되는 예:

<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
  <components>
    <component type="library">
      <publisher>Apache</publisher>
      <group>org.apache.tomcat</group>
      <name>tomcat-catalina</name>
      <version>9.0.14</version>
      <hashes>
        <hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
        <hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
        <hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
        <hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
      </hashes>
      <licenses>
        <license>
          <id>Apache-2.0</id>
        </license>
      </licenses>
      <purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
    </component>
      <!-- More components here -->
  </components>
</bom>

BOM은 종속성 추적을 위한 입력 매개변수로 사용될 수 있을 뿐만 아니라 예를 들어 고객에게 소프트웨어를 제공하기 위해 공급망에서 소프트웨어 구성 요소를 재고 관리하는 데에도 사용할 수 있습니다. 2014년에는 미국에서 검토를 위한 법률이 제안되기도 했습니다. «2014년 사이버 공급망 관리 및 투명성법», 소프트웨어를 구매할 때 어떤 상태라고 말했습니다. 기관은 취약한 구성 요소의 사용을 방지하기 위해 BOM을 요청해야 하지만 이 법은 발효되지 않았습니다.

SCA로 돌아가서 종속성 추적은 Slack과 같은 알림 플랫폼, Kenna Security와 같은 취약성 관리 시스템과 즉시 통합됩니다. 또한 Dependency Track은 사용되지 않는 버전의 패키지를 감지하고 라이센스에 대한 정보를 제공합니다(SPDX 지원으로 인해).

SCA의 품질에 대해 구체적으로 이야기하면 근본적인 차이가 있습니다.

종속성 추적은 프로젝트를 입력으로 받아들이지 않고 BOM으로 받아들입니다. 즉, 프로젝트를 테스트하려면 먼저 예를 들어 CycloneDX를 사용하여 bom.xml을 생성해야 합니다. 따라서 종속성 추적은 CycloneDX에 직접 의존합니다. 동시에 사용자 정의가 가능합니다. 그래서 OZON 팀은 다음과 같이 썼습니다. CycloneDX 모듈 종속성 추적을 통해 추가 스캔을 위해 Golang 프로젝트용 BOM 파일을 빌드합니다.

넥서스 IQ Nexus Repository Manager도 포함하는 Sonatype 생태계의 일부인 Sonatype의 상용 SCA 솔루션입니다. Nexus IQ는 웹 인터페이스 또는 API를 통한 전쟁 아카이브(Java 프로젝트용)와 조직이 CycloneDX에서 새 솔루션으로 전환할 시간이 없는 경우 BOM을 모두 입력으로 받아들일 수 있습니다. 오픈 소스 솔루션과 달리 IQ는 식별된 구성 요소에 대한 CP/PURL과 데이터베이스의 해당 취약성을 참조할 뿐만 아니라 자체 연구(예: 취약한 함수 또는 클래스의 이름)도 고려합니다. IQ의 메커니즘은 나중에 결과 분석에서 논의될 것입니다.

기능적 기능 중 일부를 요약하고 분석을 위해 지원되는 언어도 고려해 보겠습니다.

언어
넥서스 IQ
종속성 확인
종속성 추적

자바
+
+
+

C / C ++
+
+
-

C#
+
+
-

. NET
+
+
+

얼랑
-
-
+

자바스크립트(NodeJS)
+
+
+

PHP
+
+
+

Python
+
+
+

루비
+
+
+

펄
-
-
-

스칼라
+
+
+

목표 C
+
+
-

빠른
+
+
-

R
+
-
-

Go
+
+
+

기능

기능
넥서스 IQ
종속성 확인
종속성 추적

소스 코드에 사용된 구성 요소의 라이선스 순도를 확인하는 기능
+
-
+

Docker 이미지의 취약점 및 라이선스 무결성을 스캔하고 분석하는 기능
+ 클레어와의 통합
-
-

오픈 소스 라이브러리를 사용하도록 보안 정책을 구성하는 기능
+
-
-

취약한 구성 요소에 대한 오픈 소스 리포지토리 스캔 기능
+ RubyGems, Maven, NPM, Nuget, Pypi, Conan, Bower, Conda, Go, p2, R, Yum, Helm, Docker, CocoaPods, Git LFS
-
+ XNUMX 진수, RubyGems, Maven, NPM, Nuget, Pypi

전담 연구 팀의 가용성
+
-
-

폐쇄 회로에서의 작동
+
+
+

타사 데이터베이스 사용
+ 폐쇄형 데이터베이스 소나타입
+ Sonatype OSS, NPM 공공 고문
+ Sonatype OSS, NPM Public Advisors, RetireJS, VulnDB, 자체 취약점 데이터베이스 지원

구성된 정책에 따라 개발 루프에 업로드를 시도할 때 오픈 소스 구성 요소를 필터링하는 기능
+
-
-

취약점 수정에 대한 권장 사항, 수정 사항에 대한 링크 가용성
+
+- (공개 데이터베이스의 설명에 따라 다름)
+- (공개 데이터베이스의 설명에 따라 다름)

발견된 취약점의 중요도별 순위
+
+
+

역할 액세스 모델
+
-
+

CLI 지원
+
+
+- (CycloneDX만 해당)

정의된 기준에 따라 취약점 선택/정렬
+
-
+

신청 상태별 대시보드
+
-
+

PDF 형식의 보고서 생성
+
-
-

JSONCSV 형식의 보고서 생성
+
+
-

러시아어 지원
-
-
-

통합 옵션

Интеграция
넥서스 IQ
종속성 확인
종속성 추적

LDAP/액티브 디렉토리와 통합
+
-
+

Bamboo 지속적 통합 통합
+
-
-

지속적 통합 시스템과의 통합(Continuous integration) TeamCity
+
-
-

지속적 통합 시스템과의 통합(지속적 통합) GitLab
+
+- (GitLab용 플러그인)
+

지속적 통합 시스템과의 통합(Continuous integration) Jenkins
+
+
+

IDE 플러그인의 가용성
+ 인텔리J, 이클립스, 비주얼 스튜디오
-
-

도구의 웹 서비스(API)를 통한 맞춤형 통합 지원
+
-
+

종속성 확인

처음 시작

의도적으로 취약한 애플리케이션에서 종속성 검사 실행 DVJA.

이를 위해 우리는 종속성 검사 Maven 플러그인:

mvn org.owasp:dependency-check-maven:check

결과적으로 dependency-check-report.html이 대상 디렉토리에 나타납니다.

파일을 열어봅시다. 총 취약점 수를 요약한 후 패키지, CPE, CVE 수를 나타내는 높은 수준의 Severity and Confidence로 취약점에 대한 정보를 볼 수 있습니다.

특히 결정이 내려진 근거(증거), 즉 특정 BOM에 따라 더 자세한 정보가 이어집니다.

다음은 CPE, PURL 및 CVE에 대한 설명입니다. 그건 그렇고, 수정 권장 사항은 NVD 데이터베이스에 없기 때문에 첨부되지 않습니다.

검사 결과를 체계적으로 보려면 최소한의 설정으로 Nginx를 구성하거나 수신된 결함을 Dependency Check 커넥터를 지원하는 결함 관리 시스템으로 보낼 수 있습니다. 예를 들어 결함 도장입니다.

종속성 추적

설치

Dependency Track은 디스플레이 그래프가 있는 웹 기반 플랫폼이므로 타사 솔루션에 결함을 저장하는 심각한 문제가 없습니다.
지원되는 설치 시나리오는 다음과 같습니다. Docker, WAR, 실행 가능한 WAR.

처음 시작

실행 중인 서비스의 URL로 이동합니다. admin / admin을 통해 입력하고 로그인 및 비밀번호를 변경한 후 대시보드로 이동합니다. 다음으로 할 일은 다음에서 Java 테스트 애플리케이션용 프로젝트를 만드는 것입니다. 홈/프로젝트 → 프로젝트 만들기 . DVJA를 예로 들어 보겠습니다.

종속성 추적은 BOM만 입력으로 사용할 수 있으므로 이 BOM을 검색해야 합니다. 사용하자 CycloneDX 메이븐 플러그인:

mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom

bom.xml을 가져와 생성된 프로젝트에 파일을 로드합니다. DVJA → 종속성 → BOM 업로드.

관리 → 분석기로 이동합니다. NVD를 포함하는 Internal Analyzer만 활성화되어 있다는 것을 알고 있습니다. Sonatype OSS Index도 연결해 보겠습니다.

따라서 프로젝트에 대해 다음 그림을 얻습니다.

또한 목록에서 Sonatype OSS에 적용 가능한 하나의 취약점을 찾을 수 있습니다.

주된 실망은 종속성 추적이 더 이상 종속성 검사 xml 보고서를 허용하지 않는다는 것입니다. Dependency Check 통합의 최신 지원 버전은 1.0.0 - 4.0.2였으며 5.3.2를 테스트했습니다.

여기에 비디오 (그리고 여기에) 여전히 가능했을 때.

넥서스 IQ

처음 시작

Nexus IQ 설치는 소프트웨어 아카이브에서 제공됩니다. 선적 서류 비치, 하지만 이 목적을 위해 Docker 이미지를 컴파일했습니다.

콘솔에 로그인한 후 조직 및 애플리케이션을 생성해야 합니다.

보시다시피 IQ의 경우 구성은 다소 복잡합니다. 다른 "단계"(개발, 구축, 단계, 릴리스)에 적용할 수 있는 정책도 만들어야 하기 때문입니다. 이는 취약한 구성 요소가 프로덕션 파이프라인에 더 가까워질 때 차단하거나 개발자가 다운로드할 때 Nexus Repo에 들어가는 즉시 차단하는 데 필요합니다.

오픈소스와 엔터프라이즈의 차이를 느끼기 위해 넥서스 IQ를 통해 동일한 스캔을 같은 방식으로 수행해보자. Maven 플러그인, 이전에 NexusIQ 인터페이스에서 테스트 애플리케이션을 생성했습니다. dvja-test-and-compare:

mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>

IQ 웹 인터페이스에서 생성된 보고서의 URL을 따르십시오.

여기에서 심각도 수준이 다른 모든 정책 위반을 볼 수 있습니다(정보에서 보안에 중요까지). 컴포넌트 옆의 문자 D는 컴포넌트가 직접 종속성을 의미하고, 컴포넌트 옆의 문자 T는 컴포넌트가 전이적 종속성, 즉 전이적임을 의미합니다.

그건 그렇고, 보고서 오픈 소스 보안 현황 보고서 2020 Snyk의 보고에 따르면 Node.js, Java 및 Ruby에서 발견된 오픈 소스 취약점의 70% 이상이 전이 종속성에 있습니다.

Nexus IQ 정책 위반 중 하나를 열면 구성 요소에 대한 설명과 시간 그래프에서 현재 버전의 위치와 취약점이 중단되는 시점을 보여주는 버전 그래프를 볼 수 있습니다. 취약하다. 그래프의 양초 높이는 이 구성 요소를 사용하는 인기도를 나타냅니다.

취약점 섹션으로 이동하여 CVE를 열면 이 취약점에 대한 설명, 수정 권장 사항, 이 구성 요소가 위반된 이유, 즉 클래스의 존재 여부를 읽을 수 있습니다. DiskFileitem.class.

js 구성 요소를 제거하여 타사 Java 구성 요소만 요약해 보겠습니다. 괄호 안에는 NVD 외부에서 발견된 취약점의 수를 나타냅니다.

총 넥서스 IQ:

• 스캔된 종속성: 62
• 취약한 종속성: 16
• 발견된 취약점: 42개(8 sonatype db)

전체 종속성 확인:

• 스캔된 종속성: 47
• 취약한 종속성: 13
• 발견된 취약점: 91 (14 sonatype oss)

전체 종속성 추적:

• 스캔된 종속성: 59
• 취약한 종속성: 10
• 발견된 취약점: 51 (1 sonatype oss)

다음 단계는 결과를 분석하고 이러한 취약점 중 어떤 것이 실제 결함이고 어떤 것이 거짓 긍정인지 파악하는 것입니다.

부인 성명

이 리뷰는 명백한 사실이 아닙니다. 저자는 다른 사람들의 배경에 대해 별도의 악기를 골라내는 목표가 없었습니다. 검토의 목적은 SCA 도구의 작동 방식과 그 결과를 확인하는 방법을 보여주는 것이었습니다.

결과 비교

이용 약관 :

타사 구성 요소 취약점에 대한 거짓 긍정은 다음과 같습니다.

• 식별된 구성 요소에 대한 CVE 불일치
• 예를 들어, 취약점이 struts2 프레임워크에서 발견되고 도구가 이 취약점의 영향을 받지 않는 struts-tiles 프레임워크의 구성 요소를 가리키는 경우 이는 거짓 긍정입니다.
• 감지된 구성요소 버전과 CVE 불일치
• 예를 들어, 이 취약성은 Python 버전 > 3.5에 연결되어 있으며 도구는 버전 2.7을 취약한 것으로 표시합니다. 사실 이 취약성은 3.x 제품 분기에만 적용되므로 이는 잘못된 긍정입니다.
• CVE 복제
• 예를 들어 SCA가 RCE 구현을 허용하는 CVE를 가리키는 경우 SCA는 해당 RCE가 적용되는 Cisco 제품에 적용되는 동일한 CVE를 가리킵니다. 이 경우 거짓 긍정이 됩니다.
• 예를 들어 spring-web 구성 요소에서 CVE가 발견된 후 SCA는 Spring Framework의 다른 구성 요소에서 동일한 CVE를 가리키지만 CVE는 다른 구성 요소와 관련이 없습니다. 이 경우 거짓 긍정이 됩니다.

연구 대상은 오픈 소스 프로젝트 DVJA입니다. 이 연구에는 js가 없는 자바 구성 요소만 포함되었습니다.

요약 결과

식별된 취약점에 대한 수동 검토 결과로 이동하겠습니다. 각 CVE에 대한 전체 보고서는 부록에서 찾을 수 있습니다.

모든 취약점에 대한 요약 결과:

매개 변수
넥서스 IQ
종속성 확인
종속성 추적

식별된 총 취약점
42
91
51

잘못 식별된 취약점(가양성)
2 (4.76 %)
62 (68,13 %)
29 (56.86 %)

관련된 취약점이 발견되지 않음(거짓 음성)
10
20
27

구성 요소별 요약 결과:

매개 변수
넥서스 IQ
종속성 확인
종속성 추적

공개된 총 구성 요소
62
47
59

전체 취약 구성 요소
16
13
10

취약한 구성 요소가 잘못 식별됨(가양성)
1
5
0

취약한 구성 요소가 잘못 식별됨(가양성)
0
6
6

전체 취약점 수에 대한 거짓 긍정 및 거짓 부정의 비율을 추정하는 시각적 그래프를 작성해 보겠습니다. 구성 요소는 가로로 표시되고 구성 요소에서 식별된 취약점은 세로로 표시됩니다.

이에 비해 Sonatype 팀은 OWASP 종속성 검사를 사용하여 1531개 구성 요소의 프로젝트를 테스트하는 유사한 연구를 수행했습니다. 알 수 있듯이 올바른 응답에 대한 노이즈의 비율은 결과와 일치합니다.

출처 : www.sonatype.com/why-precision-matters-ebook

이러한 결과의 이유를 이해하기 위해 스캔 결과에서 일부 CVE를 살펴보겠습니다.

더

№ 1

먼저 Sonatype Nexus IQ의 몇 가지 흥미로운 점을 분석해 보겠습니다.

Nexus IQ는 Spring Framework에서 RCE를 여러 번 수행할 수 있는 역직렬화 문제를 지적합니다. CVE-2016-1000027 in spring-web:3.0.5 처음으로, CVE-2011-2894 in spring-context:3.0.5 and spring-core:3.0.5. 처음에는 여러 CVE에 걸쳐 취약점이 중복된 것으로 보입니다. NVD 데이터베이스의 CVE-2016-1000027 및 CVE-2011-2894를 보면 모든 것이 분명한 것 같습니다.

구성 요소
취약점

스프링 웹:3.0.5
CVE-2016-1000027

스프링 컨텍스트:3.0.5
CVE-2011-2894

스프링 코어:3.0.5
CVE-2011-2894

기술 CVE-2011-2894 nvd에서:


기술 CVE-2016-1000027 nvd에서:


CVE-2011-2894는 그 자체로 잘 알려져 있습니다. 보고서에서 2011년 화이트 소스 이 CVE는 가장 일반적인 것으로 인식되었습니다. CVE-2016-100027에 대한 설명은 원칙적으로 NVD에서는 거의 없고 Spring Framework 4.1.4에만 해당되는 것으로 보인다. 한번 살펴보자 참고 여기에서 다소 명확해집니다. 에서 견딜 수 있는 기사 우리는 다음의 취약성 외에도 RemoteInvocationSerializingExporter CVE-2011-2894에서 취약점은 HttpInvokerServiceExporter. 이것이 Nexus IQ가 알려주는 내용입니다.

그러나 NVD에는 이와 같은 것이 없기 때문에 Dependency Check 및 Dependency Track이 잘못된 음성을 수신합니다.

또한 CVE-2011-2894의 설명에서 취약점이 실제로 spring-context:3.0.5 및 spring-core:3.0.5 모두에 존재한다는 것을 이해할 수 있습니다. 이에 대한 확인은 이 취약점을 발견한 사람의 기사에서 찾을 수 있습니다.

№ 2

구성 요소
취약점
결과

struts2-코어:2.3.30
CVE-2016-4003
그릇된

CVE-2016-4003 취약점을 연구하면 버전 2.3.28에서 수정되었음을 알 수 있지만 Nexus IQ는 이에 대해 알려줍니다. 취약점 설명에 메모가 있습니다.

즉, 취약점은 경고하기로 결정한 오래된 버전의 JRE와 관련해서만 존재합니다. 그럼에도 불구하고 가장 끔찍하지는 않지만 False Positive로 간주합니다.

№ 3

구성 요소
취약점
결과

xwork-core:2.3.30
CVE-2017-9804
TRUE

xwork-core:2.3.30
CVE-2017-7672
그릇된

CVE-2017-9804 및 CVE-2017-7672에 대한 설명을 보면 문제가 다음에 있음을 이해할 수 있습니다. URLValidator class, CVE-2017-9804는 CVE-2017-7672에서 유래합니다. 두 번째 취약점의 존재는 심각도가 높음으로 높아진 것을 제외하고는 페이로드를 전달하지 않으므로 불필요한 노이즈로 간주될 수 있습니다.

전반적으로 Nexus IQ에 대한 다른 오탐지는 발견되지 않았습니다.

№ 4

IQ가 다른 솔루션과 차별화되는 몇 가지 사항이 있습니다.

구성 요소
취약점
결과

스프링 웹:3.0.5
CVE-2020-5398
TRUE

NVD의 CVE는 버전 5.2.x ~ 5.2.3, 5.1.x ~ 5.1.13, 버전 5.0.x ~ 5.0.16에만 적용된다고 나와 있지만 Nexus IQ의 CVE 설명을 보면 그러면 다음이 표시됩니다.
권고 편차 알림: Sonatype 보안 연구팀은 이 취약점이 권고에 명시된 3.0.2.x가 아닌 5.0.RELEASE 버전에서 도입되었음을 발견했습니다.

그 다음에는 이 취약점에 대한 PoC가 있으며 버전 3.0.5에 존재한다고 명시되어 있습니다.

False Negative는 종속성 검사 및 종속성 추적으로 전송됩니다.

№ 5

종속성 확인 및 종속성 추적에 대한 거짓 긍정을 살펴보겠습니다.

Dependency Check는 NVD에서 전체 프레임워크에 적용되는 CVE를 해당 CVE가 적용되지 않는 구성 요소에 반영하기 때문에 눈에 띕니다. 이것은 CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016-1182에 적용됩니다. "를 struts-taglib:1.3.8 및 struts-tiles-1.3.8로 변경합니다. 이러한 구성 요소는 CVE에 설명된 요청 처리, 페이지 유효성 검사 등과는 아무 관련이 없습니다. 이는 이러한 CVE와 구성 요소 간에 프레임워크만 공통적이라는 사실 때문이며, 이것이 종속성 검사를 취약점으로 간주한 이유입니다.

spring-tx:3.0.5와 같은 상황이고 struts-core:1.3.8과 비슷한 상황입니다. struts-core의 경우 Dependency Check 및 Dependency Track에서 본질적으로 별도의 프레임워크인 struts2-core에 실제로 적용되는 많은 취약점을 발견했습니다. 이 경우 Nexus IQ는 그림을 올바르게 이해했으며 발행한 CVE에서 struts-core의 수명이 종료되었으며 struts2-core로 전환해야 한다고 표시했습니다.

№ 6

경우에 따라 명시적 종속성 확인 및 종속성 추적 오류를 처리하는 것이 불공평합니다. 특히 종속성 검사 및 종속성 추적인 CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014-0225 spring-core:3.0.5라고 하면 실제로는 spring-web:3.0.5를 참조합니다. 동시에 이러한 CVE 중 일부는 Nexus IQ에서 발견되었지만 IQ는 이를 다른 구성 요소로 올바르게 식별했습니다. 이러한 취약점이 spring-core에서 발견되지 않았다는 점에서 원칙적으로 프레임워크에 없다고 주장할 수 없으며 오픈 소스 도구가 이러한 취약점을 올바르게 지적했습니다(그냥 조금 놓쳤을 뿐입니다).

조사 결과

우리가 볼 수 있듯이 수동 검토에 의해 식별된 취약점의 신뢰성 결정은 모호하지 않은 결과를 제공하지 않아 논란의 여지가 있습니다. 그 결과 Nexus IQ 솔루션이 가장 낮은 오탐률과 가장 높은 정확도를 보였습니다.

우선, 이것은 Sonatype 팀이 데이터베이스에서 NVD의 각 CVE 취약점에 대한 설명을 확장하여 구성 요소의 특정 버전에 대한 취약점의 클래스 또는 기능까지 추가 작업을 수행했음을 나타냅니다. 연구(예: 이전 소프트웨어 버전의 취약성 확인).

결과에 중요한 영향을 미치는 것은 NVD에 포함되지 않았지만 그럼에도 불구하고 SONATYPE으로 표시된 Sonatype 데이터베이스에 존재하는 취약점입니다. 보고서에 따르면 2020년 오픈 소스 보안 취약성 현황 발견된 오픈 소스 취약점의 45%는 NVD에 보고되지 않습니다. WhiteSource 데이터베이스에 따르면 NVD 외부에 접수된 모든 오픈 소스 취약점의 29%만이 NVD에서 게시됩니다. 따라서 다른 곳에서도 취약점을 찾는 것이 매우 중요합니다.

결과적으로 종속성 검사는 취약한 구성 요소 중 일부를 놓치고 많은 노이즈를 생성합니다. 종속성 추적은 노이즈를 적게 생성하고 많은 수의 구성 요소를 감지하므로 웹 인터페이스에서 시각적으로 눈을 아프게 하지 않습니다.

그럼에도 불구하고 실무는 성숙한 DevSecOps를 향한 첫 번째 단계가 되어야 하는 것이 오픈 소스임을 보여줍니다. 개발에 SCA를 내장하기 위해 가장 먼저 생각해야 할 것은 프로세스, 즉 조직에서 이상적인 프로세스가 어떤 모습이어야 하는지에 대해 경영진 및 관련 부서와 함께 생각하는 것입니다. 조직의 경우 처음에는 종속성 검사 또는 종속성 추적이 모든 비즈니스 요구 사항을 충족하고 엔터프라이즈 솔루션은 개발 중인 응용 프로그램의 복잡성 증가로 인해 논리적인 연속성이 될 것입니다.

부록 A. 구성 요소 결과
기호 :

• 구성 요소의 높음 - 높음 및 치명적 수준의 취약성
• 중간 — 구성 요소의 중간 심각도 취약성
• TRUE - 참 긍정적인 문제
• FALSE - 거짓양성 문제

구성 요소
넥서스 IQ
종속성 확인
종속성 추적
결과

dom4j:1.6.1
높은
높은
높은
TRUE

log4j-코어: 2.3
높은
높은
높은
TRUE

log4j: 1.2.14
높은
높은
-
TRUE

커먼즈-컬렉션:3.1
높은
높은
높은
TRUE

커먼즈-파일업로드:1.3.2
높은
높은
높은
TRUE

커먼즈-beanutils:1.7.0
높은
높은
높은
TRUE

커먼즈 코덱:1:10
중급
-
-
TRUE

mysql-커넥터-java:5.1.42
높은
높은
높은
TRUE

스프링 표현:3.0.5
높은
구성요소를 찾을 수 없음

TRUE

스프링 웹:3.0.5
높은
구성요소를 찾을 수 없음
높은
TRUE

스프링 컨텍스트:3.0.5
중급
구성요소를 찾을 수 없음
-
TRUE

스프링 코어:3.0.5
중급
높은
높은
TRUE

struts2-config-browser-plugin:2.3.30
중급
-
-
TRUE

스프링-tx:3.0.5
-
높은
-
그릇된

스트럿츠 코어:1.3.8
높은
높은
높은
TRUE

xwork-코어: 2.3.30
높은
-
-
TRUE

struts2-코어: 2.3.30
높은
높은
높은
TRUE

struts-taglib:1.3.8
-
높은
-
그릇된

스트럿츠-타일-1.3.8
-
높은
-
그릇된

부록 B. 취약점 결과
기호 :

• 구성 요소의 높음 - 높음 및 치명적 수준의 취약성
• 중간 — 구성 요소의 중간 심각도 취약성
• TRUE - 참 긍정적인 문제
• FALSE - 거짓양성 문제

구성 요소
넥서스 IQ
종속성 확인
종속성 추적
심각도
결과
논평

dom4j:1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
높은
TRUE

CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
높은
TRUE

log4j-코어: 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
높은
TRUE

CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
낮은
TRUE

log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
높은
TRUE

-
CVE-2020-9488
-
낮은
TRUE

SONATYPE-2010-0053
-
-
높은
TRUE

커먼즈-컬렉션:3.1
-
CVE-2015-6420
CVE-2015-6420
높은
그릇된
중복 RCE(OSSINDEX)

-
CVE-2017-15708
CVE-2017-15708
높은
그릇된
중복 RCE(OSSINDEX)

SONATYPE-2015-0002
RCE(OSSINDEX)
RCE(오신덱스)
높은
TRUE

커먼즈-파일업로드:1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
높은
TRUE

SONATYPE-2014-0173
-
-
중급
TRUE

커먼즈-beanutils:1.7.0
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
높은
TRUE

-
CVE-2019-10086
CVE-2019-10086
높은
그릇된
취약점은 버전 1.9.2+에만 적용됩니다.

커먼즈 코덱:1:10
SONATYPE-2012-0050
-
-
중급
TRUE

mysql-커넥터-java:5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
높은
TRUE

CVE-2019-2692
CVE-2019-2692
-
중급
TRUE

-
CVE-2020-2875
-
중급
그릇된
CVE-2019-2692와 동일한 취약점이지만 "공격이 추가 제품에 상당한 영향을 미칠 수 있음"이 추가됨

-
CVE-2017-15945
-
높은
그릇된
mysql-connector-java에는 적용되지 않습니다.

-
CVE-2020-2933
-
낮은
그릇된
CVE-2020-2934에 복제됨

CVE-2020-2934
CVE-2020-2934
-
중급
TRUE

스프링 표현:3.0.5
CVE-2018-1270
구성요소를 찾을 수 없음
-
높은
TRUE

CVE-2018-1257
-
-
중급
TRUE

스프링 웹:3.0.5
CVE-2016-1000027
구성요소를 찾을 수 없음
-
높은
TRUE

CVE-2014-0225
-
CVE-2014-0225
높은
TRUE

CVE-2011-2730
-
-
높은
TRUE

-
-
CVE-2013-4152
중급
TRUE

CVE-2018-1272
-
-
높은
TRUE

CVE-2020-5398
-
-
높은
TRUE
IQ에 유리한 사례: "Sonatype 보안 연구팀은 이 취약점이 권고에 명시된 3.0.2.x가 아니라 5.0.RELEASE 버전에 도입되었음을 발견했습니다."

CVE-2013-6429
-
-
중급
TRUE

CVE-2014-0054
-
CVE-2014-0054
중급
TRUE

CVE-2013-6430
-
-
중급
TRUE

스프링 컨텍스트:3.0.5
CVE-2011-2894
구성요소를 찾을 수 없음
-
중급
TRUE

스프링 코어:3.0.5
-
CVE-2011-2730
CVE-2011-2730
높은
TRUE

CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
중급
TRUE

-
-
CVE-2013-4152
중급
그릇된
spring-web에서 동일한 취약점의 중복

-
CVE-2013-4152
-
중급
그릇된
이 취약점은 spring-web 구성 요소와 관련이 있습니다.

-
CVE-2013-6429
CVE-2013-6429
중급
그릇된
이 취약점은 spring-web 구성 요소와 관련이 있습니다.

-
CVE-2013-6430
-
중급
그릇된
이 취약점은 spring-web 구성 요소와 관련이 있습니다.

-
CVE-2013-7315
CVE-2013-7315
중급
그릇된
CVE-2013-4152에서 분할. + 취약점은 spring-web 구성 요소와 관련이 있습니다.

-
CVE-2014-0054
CVE-2014-0054
중급
그릇된
이 취약점은 spring-web 구성 요소와 관련이 있습니다.

-
CVE-2014-0225
-
높은
그릇된
이 취약점은 spring-web 구성 요소와 관련이 있습니다.

-
-
CVE-2014-0225
높은
그릇된
spring-web에서 동일한 취약점의 중복

-
CVE-2014-1904
CVE-2014-1904
중급
그릇된
이 취약점은 spring-web-mvc 구성 요소와 관련이 있습니다.

-
CVE-2014-3625
CVE-2014-3625
중급
그릇된
이 취약점은 spring-web-mvc 구성 요소와 관련이 있습니다.

-
CVE-2016-9878
CVE-2016-9878
높은
그릇된
이 취약점은 spring-web-mvc 구성 요소와 관련이 있습니다.

-
CVE-2018-1270
CVE-2018-1270
높은
그릇된
spring-expression / spring-messages의 경우

-
CVE-2018-1271
CVE-2018-1271
중급
그릇된
이 취약점은 spring-web-mvc 구성 요소와 관련이 있습니다.

-
CVE-2018-1272
CVE-2018-1272
높은
TRUE

CVE-2014-3578
CVE-2014-3578(OSSINDEX)
CVE-2014-3578
중급
TRUE

SONATYPE-2015-0327
-
-
낮은
TRUE

struts2-config-browser-plugin:2.3.30
SONATYPE-2016-0104
-
-
중급
TRUE

스프링-tx:3.0.5
-
CVE-2011-2730
-
높은
그릇된
이 취약점은 spring-tx에 적용되지 않습니다.

-
CVE-2011-2894
-
높은
그릇된
이 취약점은 spring-tx에 적용되지 않습니다.

-
CVE-2013-4152
-
중급
그릇된
이 취약점은 spring-tx에 적용되지 않습니다.

-
CVE-2013-6429
-
중급
그릇된
이 취약점은 spring-tx에 적용되지 않습니다.

-
CVE-2013-6430
-
중급
그릇된
이 취약점은 spring-tx에 적용되지 않습니다.

-
CVE-2013-7315
-
중급
그릇된
이 취약점은 spring-tx에 적용되지 않습니다.

-
CVE-2014-0054
-
중급
그릇된
이 취약점은 spring-tx에 적용되지 않습니다.

-
CVE-2014-0225
-
높은
그릇된
이 취약점은 spring-tx에 적용되지 않습니다.

-
CVE-2014-1904
-
중급
그릇된
이 취약점은 spring-tx에 적용되지 않습니다.

-
CVE-2014-3625
-
중급
그릇된
이 취약점은 spring-tx에 적용되지 않습니다.

-
CVE-2016-9878
-
높은
그릇된
이 취약점은 spring-tx에 적용되지 않습니다.

-
CVE-2018-1270
-
높은
그릇된
이 취약점은 spring-tx에 적용되지 않습니다.

-
CVE-2018-1271
-
중급
그릇된
이 취약점은 spring-tx에 적용되지 않습니다.

-
CVE-2018-1272
-
중급
그릇된
이 취약점은 spring-tx에 적용되지 않습니다.

스트럿츠 코어:1.3.8
-
CVE-2011-5057(OSSINDEX)

중급
파슬
Struts 2에 대한 취약점

-
CVE-2012-0391(OSSINDEX)
CVE-2012-0391
높은
그릇된
Struts 2에 대한 취약점

-
CVE-2014-0094(OSSINDEX)
CVE-2014-0094
중급
그릇된
Struts 2에 대한 취약점

-
CVE-2014-0113(OSSINDEX)
CVE-2014-0113
높은
그릇된
Struts 2에 대한 취약점

CVE-2016-1182
3VE-2016-1182
-
높은
TRUE

-
-
CVE-2011-5057
중급
그릇된
Struts 2에 대한 취약점

-
CVE-2012-0392(OSSINDEX)
CVE-2012-0392
높은
그릇된
Struts 2에 대한 취약점

-
CVE-2012-0393(OSSINDEX)
CVE-2012-0393
중급
그릇된
Struts 2에 대한 취약점

CVE-2015-0899
CVE-2015-0899
-
높은
TRUE

-
CVE-2012-0394
CVE-2012-0394
중급
그릇된
Struts 2에 대한 취약점

-
CVE-2012-0838(OSSINDEX)
CVE-2012-0838
높은
그릇된
Struts 2에 대한 취약점

-
CVE-2013-1965(OSSINDEX)
CVE-2013-1965
높은
그릇된
Struts 2에 대한 취약점

-
CVE-2013-1966(OSSINDEX)
CVE-2013-1966
높은
파슬
Struts 2에 대한 취약점

-
CVE-2013-2115
CVE-2013-2115
높은
파슬
Struts 2에 대한 취약점

-
CVE-2013-2134(OSSINDEX)
CVE-2013-2134
높은
파슬
Struts 2에 대한 취약점

-
CVE-2013-2135(OSSINDEX)
CVE-2013-2135
높은
파슬
Struts 2에 대한 취약점

CVE-2014-0114
CVE-2014-0114
-
높은
TRUE

-
CVE-2015-2992
CVE-2015-2992
중급
그릇된
Struts 2에 대한 취약점

-
CVE-2016-0785(OSSINDEX)
CVE-2016-0785
높은
그릇된
Struts 2에 대한 취약점

CVE-2016-1181
CVE-2016-1181
-
높은
TRUE

-
CVE-2016-4003(OSSINDEX)
CVE-2016-4003
높은
그릇된
Struts 2에 대한 취약점

xwork-core:2.3.30
CVE-2017-9804
-
-
높은
TRUE

SONATYPE-2017-0173
-
-
높은
TRUE

CVE-2017-7672
-
-
높은
그릇된
CVE-2017-9804로 두 배 증가

SONATYPE-2016-0127
-
-
높은
TRUE

struts2-코어:2.3.30
-
CVE-2016-6795
CVE-2016-6795
높은
TRUE

-
CVE-2017-9787
CVE-2017-9787
높은
TRUE

-
CVE-2017-9791
CVE-2017-9791
높은
TRUE

-
CVE-2017-9793
-
높은
그릇된
CVE-2018-1327에 복제됨

-
CVE-2017-9804
-
높은
TRUE

-
CVE-2017-9805
CVE-2017-9805
높은
TRUE

CVE-2016-4003
-
-
중급
그릇된
Apache Struts 2.x에서 2.3.28(버전 2.3.30)까지 적용됩니다. 그러나 설명에 따르면 CVE는 JRE 2 이하를 사용하는 한 Struts 1.7의 모든 버전에서 작동합니다. 분명히 그들은 여기서 우리를 재보험하기로 결정했지만 FALSE에 더 가깝습니다.

-
CVE-2018-1327
CVE-2018-1327
높은
TRUE

CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
높은
TRUE
2017년 Equifax에서 공격자가 악용한 동일한 취약점

CVE-2017-12611
CVE-2017-12611
-
높은
TRUE

CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
높은
TRUE

struts-taglib:1.3.8
-
CVE-2012-0394
-
중급
그릇된
struts2-core의 경우

-
CVE-2013-2115
-
높은
그릇된
struts2-core의 경우

-
CVE-2014-0114
-
높은
그릇된
commons-beanutils의 경우

-
CVE-2015-0899
-
높은
그릇된
taglib와 관련 없음

-
CVE-2015-2992
-
중급
그릇된
struts2-core 관련

-
CVE-2016-1181
-
높은
그릇된
taglib와 관련 없음

-
CVE-2016-1182
-
높은
그릇된
taglib와 관련 없음

스트럿츠-타일-1.3.8
-
CVE-2012-0394
-
중급
그릇된
struts2-core의 경우

-
CVE-2013-2115
-
높은
그릇된
struts2-core의 경우

-
CVE-2014-0114
-
높은
그릇된
commons-beanutils에서

-
CVE-2015-0899
-
높은
그릇된
타일에는 적용되지 않습니다.

-
CVE-2015-2992
-
중급
그릇된
struts2-core의 경우

-
CVE-2016-1181
-
높은
그릇된
taglib와 관련 없음

-
CVE-2016-1182
-
높은
그릇된
taglib와 관련 없음

출처 : habr.com