사용된 라이브러리에 대한 취약점 스캐너 사용 GitlabCI의 종속성 확인

취약성 관리의 중요한 부분은 최신 시스템을 구성하는 소프트웨어 구성 요소의 공급망을 철저하게 이해하고 보호하는 것입니다. Agile 및 DevOps 팀은 오픈 소스 라이브러리와 프레임워크를 광범위하게 사용하여 개발 시간과 비용을 줄입니다. 하지만 이 메달에는 단점도 있습니다. 즉, 다른 사람의 실수와 취약성을 물려받을 기회가 있다는 것입니다.

분명히 팀은 애플리케이션에 어떤 오픈 소스 구성 요소가 포함되어 있는지 확인하고, 알려진 신뢰할 수 있는 버전이 알려진 신뢰할 수 있는 소스에서 다운로드되었는지 확인하고, 새로 발견된 취약점이 패치된 후 업데이트된 버전의 구성 요소를 다운로드해야 합니다.

이 게시물에서는 코드에서 심각한 문제가 발견되면 빌드를 중단하기 위해 OWASP 종속성 검사를 사용하는 방법을 살펴보겠습니다.

『애자일 프로젝트의 개발 보안』이라는 책에는 다음과 같이 설명되어 있습니다. OWASP 종속성 검사는 애플리케이션에 사용되는 모든 오픈 소스 구성 요소를 카탈로그화하고 여기에 포함된 취약점을 보여주는 무료 스캐너입니다. Java, .NET, Ruby(gemspec), PHP(composer), Node.js, Python용 버전은 물론 일부 C/C++ 프로젝트용 버전도 있습니다. 종속성 확인은 Ant, Maven, Gradle 등의 일반적인 빌드 도구와 Jenkins와 같은 지속적인 통합 서버와 통합됩니다.

종속성 검사는 NIST의 NVD(National Vulnerability Database)에서 알려진 취약점이 있는 모든 구성 요소를 보고하고 NVD 뉴스 피드의 데이터로 업데이트됩니다.

다행히 이 모든 작업은 OWASP 종속성 검사 프로젝트와 같은 도구나 다음과 같은 상용 프로그램을 사용하여 자동으로 수행할 수 있습니다. 블랙 덕, JFrog 엑스레이, 스 니크, Nexus 수명주기 소나타입 또는 출처지우기.

이러한 도구는 빌드 파이프라인에 포함되어 오픈 소스 종속성을 자동으로 인벤토리화하고, 알려진 취약점이 포함된 라이브러리 및 라이브러리의 오래된 버전을 식별하고, 심각한 문제가 감지되면 빌드를 중단할 수 있습니다.

OWASP 종속성 확인

종속성 검사가 어떻게 작동하는지 테스트하고 시연하기 위해 이 저장소를 사용합니다. 종속성 검사 예.

HTML 보고서를 보려면 gitlab-runner에서 nginx 웹 서버를 구성해야 합니다.

최소 nginx 구성의 예:

server {
    listen       9999;
    listen       [::]:9999;
    server_name  _;
    root         /home/gitlab-runner/builds;

    location / {
        autoindex on;
    }

    error_page 404 /404.html;
        location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }
}

어셈블리가 끝나면 다음 그림을 볼 수 있습니다.

링크를 따라가서 종속성 검사 보고서를 확인하세요.

첫 번째 스크린샷은 요약이 포함된 보고서의 상단 부분입니다.

두 번째 스크린샷에서는 CVE-2017-5638을 자세히 설명합니다. 여기서는 CVE 수준과 익스플로잇 링크를 볼 수 있습니다.

세 번째 스크린샷은 log4j-api-2.7.jar의 세부정보입니다. CVE 수준은 7.5와 9.8임을 알 수 있습니다.

네 번째 스크린샷은 commons-fileupload-1.3.2.jar의 세부정보입니다. CVE 수준은 7.5와 9.8임을 알 수 있습니다.

gitlab 페이지를 사용하려는 경우 작동하지 않습니다. 실패한 작업은 아티팩트를 생성하지 않습니다.

여기 예 https://gitlab.com/anton_patsev/dependency-check-example-gitlab-pages.

빌드 출력: 아티팩트가 없습니다. HTML 보고서가 표시되지 않습니다. Artifact: Always를 사용해 보세요.

https://gitlab.com/anton_patsev/dependency-check-example-gitlab-pages/-/jobs/400004246

CVE 취약점 수준 규제

gitlab-ci.yaml 파일에서 가장 중요한 줄은 다음과 같습니다.

mvn $MAVEN_CLI_OPTS test org.owasp:dependency-check-maven:check -DfailBuildOnCVSS=7

fallBuildOnCVSS 매개변수를 사용하면 대응해야 하는 CVE 취약성 수준을 조정할 수 있습니다.

인터넷에서 NIST 취약점 데이터베이스(NVD) 다운로드

NIST가 인터넷에서 NIST 취약성 데이터베이스(NVD)를 지속적으로 다운로드한다는 사실을 알고 계셨습니까?

다운로드하려면 유틸리티를 사용할 수 있습니다 nist_data_mirror_golang

설치하고 실행해 보겠습니다.

yum -y install yum-plugin-copr
yum copr enable antonpatsev/nist_data_mirror_golang
yum -y install nist-data-mirror
systemctl start nist-data-mirror

Nist-data-mirror는 시작 시 NIST JSON CVE를 /var/www/repos/nist-data-mirror/에 업로드하고 24시간마다 데이터를 업데이트합니다.

CVE JSON NIST를 다운로드하려면 nginx 웹 서버(예: gitlab-runner에서)를 구성해야 합니다.

최소 nginx 구성의 예:

server {
    listen       12345;
    listen       [::]:12345;
    server_name  _;
    root         /var/www/repos/nist-data-mirror/;

    location / {
        autoindex on;
    }

    error_page 404 /404.html;
        location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }

}

mvn이 실행되는 곳에 긴 줄이 생기지 않도록 매개 변수를 별도의 변수 DEPENDENCY_OPTS로 이동하겠습니다.

최종 최소 구성 .gitlab-ci.yml은 다음과 같습니다.

variables:
  MAVEN_OPTS: "-Dhttps.protocols=TLSv1.2 -Dmaven.repo.local=$CI_PROJECT_DIR/.m2/repository -Dorg.slf4j.simpleLogger.log.org.apache.maven.cli.transfer.Slf4jMavenTransferListener=WARN -Dorg.slf4j.simpleLogger.showDateTime=true -Djava.awt.headless=true"
  MAVEN_CLI_OPTS: "--batch-mode --errors --fail-at-end --show-version -DinstallAtEnd=true -DdeployAtEnd=true"
  DEPENDENCY_OPTS: "-DfailBuildOnCVSS=7 -DcveUrlModified=http://localhost:12345/nvdcve-1.1-modified.json.gz -DcveUrlBase=http://localhost:12345/nvdcve-1.1-%d.json.gz"

cache:
  paths:
    - .m2/repository

verify:
  stage: test
  script:
    - set +e
    - mvn $MAVEN_CLI_OPTS install org.owasp:dependency-check-maven:check $DEPENDENCY_OPTS || EXIT_CODE=$?
    - export PATH_WITHOUT_HOME=$(pwd | sed -e "s//home/gitlab-runner/builds//g")
    - echo "************************* URL Dependency-check-report.html *************************"
    - echo "http://$HOSTNAME:9999$PATH_WITHOUT_HOME/target/dependency-check-report.html"
    - set -e
    - exit ${EXIT_CODE}
  tags:
    - shell

DevOps 및 보안에 관한 텔레그램 채팅
텔레그램 채널 DevSecOps / SSDLC - 보안 개발

출처 : habr.com