DevSecOps: ऑपरेशनची तत्त्वे आणि SCA ची तुलना. पहिला भाग

Synopsys, Sonatype, Snyk आणि White Source द्वारे प्रकाशित केलेल्या ओपन सोर्स लायब्ररींच्या भेद्यतेवरील वार्षिक अहवालांच्या प्रकाशनाने विकास प्रक्रियेत तृतीय-पक्ष सॉफ्टवेअर घटकांच्या (सॉफ्टवेअर कंपोझिशन अॅनालिसिस - SCA) विश्लेषणाचे महत्त्व वाढत आहे. . अहवालानुसार द स्टेट ऑफ ओपन सोर्स सिक्युरिटी व्हल्नेरेबिलिटीज 2020 2019 मध्ये ओळखल्या गेलेल्या ओपन सोर्स असुरक्षिततेची संख्या मागील वर्षाच्या तुलनेत जवळपास 1.5 पट वाढली आहे, तर ओपन सोर्स घटक 60% ते 80% प्रकल्पांद्वारे वापरले जातात. स्वतंत्र आधारावर, SCA प्रक्रिया परिपक्वतेचे सूचक म्हणून OWASP SAMM आणि BSIMM ची एक वेगळी सराव आहे आणि 2020 च्या पहिल्या सहामाहीत, OWASP ने नवीन OWASP सॉफ्टवेअर घटक पडताळणी मानक (SCVS) जारी केले, जे तिसरे सत्यापित करण्यासाठी सर्वोत्तम पद्धती प्रदान करते. BY पुरवठा साखळीतील पक्ष घटक.

सर्वात उदाहरणात्मक प्रकरणांपैकी एक घडले मे 2017 मध्ये Equifax सह. अज्ञात हल्लेखोरांनी 143 दशलक्ष अमेरिकन लोकांची संपूर्ण नावे, पत्ते, सामाजिक सुरक्षा क्रमांक आणि चालकाचा परवाना यासह माहिती मिळवली. 209 प्रकरणांमध्ये, दस्तऐवजांमध्ये पीडितांच्या बँक कार्डांची माहिती देखील समाविष्ट होती. ही गळती Apache Struts 000 (CVE-2-2017) मधील गंभीर असुरक्षिततेच्या शोषणाच्या परिणामी झाली, तर निराकरण मार्च 5638 मध्ये परत सोडण्यात आले. अपडेट इन्स्टॉल करण्यासाठी कंपनीकडे दोन महिन्यांचा कालावधी होता, परंतु कोणीही त्याची तसदी घेतली नाही.

हा लेख विश्लेषण परिणामांच्या गुणवत्तेच्या दृष्टिकोनातून SCA आयोजित करण्यासाठी साधन निवडण्याच्या मुद्द्यावर चर्चा करेल. साधनांची कार्यात्मक तुलना देखील प्रदान केली जाईल. CI/CD मध्ये एकत्रित करण्याची प्रक्रिया आणि एकीकरण क्षमता पुढील प्रकाशनांसाठी सोडली जाईल. OWASP द्वारे विस्तृत उपकरणे सादर केली गेली तुमच्या साइटवर, परंतु सध्याच्या पुनरावलोकनात आम्ही फक्त सर्वात लोकप्रिय ओपन सोर्स टूल डिपेंडन्सी चेक, किंचित कमी प्रसिद्ध ओपन सोर्स प्लॅटफॉर्म डिपेंडन्सी ट्रॅक आणि एंटरप्राइझ सोल्यूशन Sonatype Nexus IQ वर स्पर्श करू. आम्ही हे उपाय कसे कार्य करतात हे देखील समजून घेऊ आणि खोट्या सकारात्मकतेसाठी मिळालेल्या परिणामांची तुलना करू.

हे कसे कार्य करते

अवलंबित्व तपासणी ही एक उपयुक्तता (CLI, maven, jenkins module, ant) ​​आहे जी प्रोजेक्ट फाइल्सचे विश्लेषण करते, अवलंबित्वांबद्दल माहितीचे तुकडे गोळा करते (पॅकेजचे नाव, ग्रुपिड, स्पेसिफिकेशन शीर्षक, आवृत्ती...), एक CPE (कॉमन प्लॅटफॉर्म एन्युमरेशन) लाइन तयार करते , पॅकेज URL (PURL) आणि डेटाबेसेस (NVD, Sonatype OSS Index, NPM Audit API...) वरून CPE/PURL साठी भेद्यता ओळखते, त्यानंतर ते HTML, JSON, XML फॉरमॅटमध्ये एक-वेळ अहवाल तयार करते...

CPE कसा दिसतो ते पाहूया:

cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other

• भाग: घटक अनुप्रयोग (a), ऑपरेटिंग सिस्टम (o), हार्डवेअर (h) (आवश्यक) शी संबंधित असल्याचे संकेत
• विक्रेता: उत्पादन निर्मात्याचे नाव (आवश्यक)
• उत्पादन: उत्पादनाचे नाव (आवश्यक)
• आवृत्ती: घटक आवृत्ती (कालबाह्य वस्तू)
• अद्यतनित करा: पॅकेज अपडेट
• आवृत्ती: लेगसी आवृत्ती (नापसंत आयटम)
• भाषा: RFC-5646 मध्ये परिभाषित केलेली भाषा
• SW संस्करण: सॉफ्टवेअर आवृत्ती
• लक्ष्य SW: सॉफ्टवेअर वातावरण ज्यामध्ये उत्पादन चालते
• लक्ष्य HW: हार्डवेअर वातावरण ज्यामध्ये उत्पादन चालते
• इतर: पुरवठादार किंवा उत्पादन माहिती

CPE चे उदाहरण असे दिसते:

cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*

ओळीचा अर्थ असा आहे की CPE आवृत्ती 2.3 निर्मात्याकडून अनुप्रयोग घटकाचे वर्णन करते pivotal_software शीर्षक सह spring_framework आवृत्ती 3.0.0. आम्ही एक असुरक्षा उघडल्यास सीव्हीई- 2014-0225 NVD मध्ये, आपण या CPE चा उल्लेख पाहू शकतो. पहिली समस्या ज्याकडे तुम्ही ताबडतोब लक्ष दिले पाहिजे ती म्हणजे NVD मधील CVE, CPE नुसार, फ्रेमवर्कमध्ये समस्या नोंदवते, विशिष्ट घटकामध्ये नाही. म्हणजेच, जर डेव्हलपर फ्रेमवर्कशी घट्ट बांधलेले असतील आणि ओळखल्या गेलेल्या असुरक्षिततेचा विकासक वापरत असलेल्या मॉड्यूल्सवर परिणाम होत नसेल, तर सुरक्षा तज्ञांना या CVE चे पृथक्करण करावे लागेल आणि अपडेट करण्याचा विचार करावा लागेल.

URL SCA साधनांद्वारे देखील वापरली जाते. पॅकेज URL स्वरूप खालीलप्रमाणे आहे:

scheme:type/namespace/name@version?qualifiers#subpath

• योजना: हे पॅकेज URL असल्याचे दर्शविणारा 'pkg' नेहमी असेल (आवश्यक)
• प्रकार: पॅकेजचा "प्रकार" किंवा पॅकेजचा "प्रोटोकॉल", जसे की मावेन, एनपीएम, न्युगेट, जेम, पायपी इ. (आवश्यक वस्तू)
• नेमस्पेस: काही नाव उपसर्ग, जसे की Maven गट आयडी, डॉकर प्रतिमा मालक, GitHub वापरकर्ता किंवा संस्था. पर्यायी आणि प्रकारावर अवलंबून आहे.
• नाव: पॅकेजचे नाव (आवश्यक)
• आवृत्ती: पॅकेज आवृत्ती
• पात्रता: पॅकेजसाठी अतिरिक्त पात्रता डेटा, जसे की OS, आर्किटेक्चर, वितरण, इ. पर्यायी आणि प्रकार-विशिष्ट.
• उपपथ: पॅकेज रूटशी संबंधित पॅकेजमधील अतिरिक्त मार्ग

उदाहरणार्थ:

pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]

अवलंबित्व ट्रॅक — एक ऑन-प्रिमाइस वेब प्लॅटफॉर्म जे तयार केलेले बिल ऑफ मटेरिअल्स (BOM) स्वीकारते चक्रीवादळ डीएक्स и एसपीडीएक्स, म्हणजे, विद्यमान अवलंबनांबद्दल तयार-तयार तपशील. ही एक XML फाइल आहे जी अवलंबित्वांचे वर्णन करते - नाव, हॅश, पॅकेज url, प्रकाशक, परवाना. पुढे, डिपेंडन्सी ट्रॅक BOM चे पार्सेस करतो, असुरक्षितता डेटाबेस (NVD, Sonatype OSS Index...) वरून ओळखलेल्या अवलंबनांसाठी उपलब्ध CVE पाहतो, त्यानंतर ते आलेख तयार करतो, मेट्रिक्सची गणना करतो, घटकांच्या असुरक्षिततेच्या स्थितीवर डेटा नियमितपणे अपडेट करतो. .

XML फॉरमॅटमध्ये BOM कसा दिसतो याचे उदाहरण:

<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
  <components>
    <component type="library">
      <publisher>Apache</publisher>
      <group>org.apache.tomcat</group>
      <name>tomcat-catalina</name>
      <version>9.0.14</version>
      <hashes>
        <hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
        <hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
        <hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
        <hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
      </hashes>
      <licenses>
        <license>
          <id>Apache-2.0</id>
        </license>
      </licenses>
      <purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
    </component>
      <!-- More components here -->
  </components>
</bom>

BOM फक्त डिपेंडन्सी ट्रॅकसाठी इनपुट पॅरामीटर्स म्हणून वापरला जाऊ शकत नाही, तर पुरवठा साखळीतील सॉफ्टवेअर घटकांची यादी तयार करण्यासाठी देखील वापरला जाऊ शकतो, उदाहरणार्थ, ग्राहकाला सॉफ्टवेअर प्रदान करण्यासाठी. 2014 मध्ये, युनायटेड स्टेट्समध्ये एक कायदा देखील प्रस्तावित करण्यात आला होता "सायबर पुरवठा साखळी व्यवस्थापन आणि पारदर्शकता कायदा 2014", ज्याने सांगितले की सॉफ्टवेअर खरेदी करताना, कोणतेही राज्य. असुरक्षित घटकांचा वापर रोखण्यासाठी संस्थेने BOM ला विनंती करणे आवश्यक आहे, परंतु हा कायदा अद्याप लागू झालेला नाही.

SCA कडे परत आल्यावर, डिपेंडन्सी ट्रॅकमध्ये स्लॅक सारख्या सूचना प्लॅटफॉर्मसह, केन्ना सिक्युरिटी सारख्या असुरक्षा व्यवस्थापन प्रणालीसह तयार एकीकरण आहे. हे देखील सांगण्यासारखे आहे की डिपेंडन्सी ट्रॅक, इतर गोष्टींबरोबरच, पॅकेजेसच्या कालबाह्य आवृत्त्या ओळखतो आणि परवान्यांबद्दल माहिती प्रदान करतो (SPDX समर्थनामुळे).

जर आपण विशेषतः SCA च्या गुणवत्तेबद्दल बोललो तर एक मूलभूत फरक आहे.

डिपेंडन्सी ट्रॅक प्रकल्पाला इनपुट म्हणून स्वीकारत नाही, तर बीओएम. याचा अर्थ असा की जर आम्हाला प्रकल्पाची चाचणी घ्यायची असेल, तर आम्हाला प्रथम bom.xml व्युत्पन्न करावे लागेल, उदाहरणार्थ CycloneDX वापरणे. अशा प्रकारे, अवलंबित्व ट्रॅक थेट CycloneDX वर अवलंबून आहे. त्याच वेळी, ते सानुकूलित करण्याची परवानगी देते. ओझोन टीमने हेच लिहिले आहे CycloneDX मॉड्यूल डिपेंडन्सी ट्रॅकद्वारे पुढील स्कॅनिंगसाठी गोलांग प्रकल्पांसाठी बीओएम फाइल्स एकत्र करणे.

Nexus IQ Sonatype चे व्यावसायिक SCA समाधान आहे, जे Sonatype इकोसिस्टमचा भाग आहे, ज्यामध्ये Nexus Repository Manager देखील समाविष्ट आहे. जर तुमची संस्था अजून CycloneDX वरून नवीन सोल्यूशनवर स्विच केली नसेल तर Nexus IQ वेब इंटरफेस किंवा API आणि BOM द्वारे दोन्ही युद्ध संग्रहण (java प्रकल्पांसाठी) इनपुट म्हणून स्वीकारू शकते. ओपन सोर्स सोल्यूशन्सच्या विपरीत, IQ केवळ ओळखलेल्या घटकासाठी CP/PURL आणि डेटाबेसमधील संबंधित भेद्यतेचा संदर्भ देत नाही, तर स्वतःचे संशोधन देखील विचारात घेते, उदाहरणार्थ, असुरक्षित फंक्शन किंवा वर्गाचे नाव. परिणामांच्या विश्लेषणामध्ये IQ च्या यंत्रणेची नंतर चर्चा केली जाईल.

चला काही कार्यात्मक वैशिष्ट्यांचा सारांश घेऊ आणि विश्लेषणासाठी समर्थित भाषांचा देखील विचार करूया:

भाषा
Nexus IQ
अवलंबित्व तपासणी
अवलंबित्व ट्रॅक

जावा
+
+
+

C / C ++
+
+
-

C#
+
+
-

नेट
+
+
+

अर्लंग
-
-
+

JavaScript (NodeJS)
+
+
+

कृपया PHP
+
+
+

python ला
+
+
+

रुबी
+
+
+

पर्ल
-
-
-

Scala
+
+
+

उद्देश सी
+
+
-

चपळ
+
+
-

R
+
-
-

Go
+
+
+

कार्यक्षमता

कार्यक्षमता
Nexus IQ
अवलंबित्व तपासणी
अवलंबित्व ट्रॅक

स्त्रोत कोडमध्ये वापरलेले घटक परवानाकृत शुद्धतेसाठी तपासले आहेत याची खात्री करण्याची क्षमता
+
-
+

डॉकर प्रतिमांसाठी असुरक्षा आणि परवाना स्वच्छतेसाठी स्कॅन आणि विश्लेषण करण्याची क्षमता
+ क्लेअरसह एकत्रीकरण
-
-

ओपन सोर्स लायब्ररी वापरण्यासाठी सुरक्षा धोरणे कॉन्फिगर करण्याची क्षमता
+
-
-

असुरक्षित घटकांसाठी मुक्त स्रोत भांडार स्कॅन करण्याची क्षमता
+ RubyGems, Maven, NPM, Nuget, Pypi, Conan, Bower, Conda, Go, p2, R, Yum, Helm, Docker, CocoaPods, Git LFS
-
+ हेक्स, रुबीजेम्स, मावेन, एनपीएम, नुगेट, पायपी

विशेष संशोधन गटाची उपलब्धता
+
-
-

बंद लूप ऑपरेशन
+
+
+

तृतीय पक्ष डेटाबेस वापरणे
+ बंद सोनाटाइप डेटाबेस
+ सोनाटाइप OSS, NPM सार्वजनिक सल्लागार
+ Sonatype OSS, NPM सार्वजनिक सल्लागार, RetireJS, VulnDB, स्वतःच्या असुरक्षा डेटाबेससाठी समर्थन

कॉन्फिगर केलेल्या धोरणांनुसार विकास लूपमध्ये लोड करण्याचा प्रयत्न करताना ओपन सोर्स घटक फिल्टर करण्याची क्षमता
+
-
-

असुरक्षा निश्चित करण्यासाठी शिफारसी, दुव्यांचे निराकरण करण्यासाठी उपलब्धता
+
+- (सार्वजनिक डेटाबेसमधील वर्णनावर अवलंबून असते)
+- (सार्वजनिक डेटाबेसमधील वर्णनावर अवलंबून असते)

तीव्रतेनुसार आढळलेल्या भेद्यतेची रँकिंग
+
+
+

भूमिका-आधारित प्रवेश मॉडेल
+
-
+

CLI समर्थन
+
+
+- (केवळ CycloneDX साठी)

परिभाषित निकषांनुसार भेद्यतेचे नमुने/वर्गीकरण
+
-
+

अर्ज स्थितीनुसार डॅशबोर्ड
+
-
+

पीडीएफ स्वरूपात अहवाल तयार करणे
+
-
-

JSONCSV फॉरमॅटमध्ये अहवाल तयार करत आहे
+
+
-

रशियन भाषा समर्थन
-
-
-

एकत्रीकरण क्षमता

एकत्रीकरण
Nexus IQ
अवलंबित्व तपासणी
अवलंबित्व ट्रॅक

LDAP/सक्रिय निर्देशिका एकत्रीकरण
+
-
+

सतत एकीकरण प्रणाली बांबू सह एकत्रीकरण
+
-
-

सतत एकीकरण प्रणाली टीमसिटीसह एकत्रीकरण
+
-
-

सतत एकीकरण प्रणाली GitLab सह एकत्रीकरण
+
+- (GitLab साठी प्लगइन म्हणून)
+

सतत एकीकरण प्रणाली जेनकिन्ससह एकत्रीकरण
+
+
+

IDE साठी प्लगइनची उपलब्धता
+ इंटेलिज, एक्लिप्स, व्हिज्युअल स्टुडिओ
-
-

टूलच्या वेब-सर्व्हिसेस (API) द्वारे सानुकूल एकत्रीकरणासाठी समर्थन
+
-
+

अवलंबित्व तपासणी

पहिली सुरुवात

जाणूनबुजून असुरक्षित ऍप्लिकेशनवर डिपेंडन्सी चेक चालवू डीव्हीजेए.

यासाठी आपण वापरणार आहोत अवलंबित्व तपासा मावेन प्लगइन:

mvn org.owasp:dependency-check-maven:check

परिणामी, अवलंबित्व-check-report.html लक्ष्य निर्देशिकेत दिसून येईल.

चला फाईल उघडू. असुरक्षिततेच्या एकूण संख्येबद्दल सारांश माहितीनंतर, आम्ही पॅकेज, CPE आणि CVE ची संख्या दर्शविणारी उच्च पातळीची तीव्रता आणि आत्मविश्वास असलेल्या भेद्यतेबद्दल माहिती पाहू शकतो.

पुढे अधिक तपशीलवार माहिती येते, विशेषत: ज्या आधारावर निर्णय घेण्यात आला होता (पुरावा), म्हणजेच एक विशिष्ट बीओएम.

पुढे CPE, PURL आणि CVE वर्णन येते. तसे, NVD डेटाबेसमध्ये त्यांच्या अनुपस्थितीमुळे दुरुस्तीसाठी शिफारसी समाविष्ट केल्या जात नाहीत.

स्कॅन परिणाम पद्धतशीरपणे पाहण्यासाठी, तुम्ही किमान सेटिंग्जसह Nginx कॉन्फिगर करू शकता किंवा परिणामी दोष एका दोष व्यवस्थापन प्रणालीकडे पाठवू शकता जे कनेक्टरला अवलंबन तपासण्यासाठी समर्थन देते. उदाहरणार्थ, दोष डोजो.

अवलंबित्व ट्रॅक

सेटिंग

अवलंबित्व ट्रॅक, याउलट, प्रदर्शन आलेखांसह एक वेब-आधारित प्लॅटफॉर्म आहे, त्यामुळे तृतीय-पक्ष समाधानामध्ये दोष संचयित करण्याचा महत्त्वाचा मुद्दा येथे उद्भवत नाही.
स्थापनेसाठी समर्थित स्क्रिप्ट आहेत: डॉकर, वॉर, एक्झिक्युटेबल वॉर.

पहिली सुरुवात

आम्ही चालू असलेल्या सेवेच्या URL वर जातो. आम्ही प्रशासक/प्रशासकाद्वारे लॉग इन करतो, लॉगिन आणि पासवर्ड बदलतो आणि नंतर डॅशबोर्डवर जातो. पुढील गोष्ट म्हणजे आपण Java मध्ये चाचणी अनुप्रयोगासाठी एक प्रकल्प तयार करू घर/प्रकल्प → प्रकल्प तयार करा . DVJA चे उदाहरण घेऊ.

अवलंबित्व ट्रॅक केवळ BOM इनपुट म्हणून स्वीकारू शकत असल्याने, हा BOM पुनर्प्राप्त करणे आवश्यक आहे. चला लाभ घेऊया CycloneDX Maven प्लगइन:

mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom

आम्हाला bom.xml मिळते आणि तयार केलेल्या प्रोजेक्टमध्ये फाइल लोड केली जाते DVJA → अवलंबित्व → BOM अपलोड करा.

चला Administration → Analyzers वर जाऊ. आम्ही समजतो की आमच्याकडे फक्त अंतर्गत विश्लेषक सक्षम आहे, ज्यामध्ये NVD समाविष्ट आहे. चला Sonatype OSS Index देखील कनेक्ट करूया.

अशा प्रकारे, आम्हाला आमच्या प्रकल्पासाठी खालील चित्र मिळते:

तसेच सूचीमध्ये तुम्हाला सोनाटाइप OSS ला लागू होणारी एक भेद्यता सापडेल:

मुख्य निराशा ही होती की डिपेंडेंसी ट्रॅक यापुढे डिपेंडेंसी चेक xml अहवाल स्वीकारत नाही. डिपेंडेंसी चेक इंटिग्रेशनच्या नवीनतम समर्थित आवृत्त्या 1.0.0 - 4.0.2 होत्या, तर मी 5.3.2 चाचणी केली.

येथे видео (आणि पाहा, पाहा) जेव्हा ते अद्याप शक्य होते.

Nexus IQ

पहिली सुरुवात

Nexus IQ ची स्थापना च्या संग्रहणातून येते दस्तऐवजीकरण, परंतु आम्ही या हेतूंसाठी एक डॉकर प्रतिमा तयार केली आहे.

कन्सोलमध्ये लॉग इन केल्यानंतर, तुम्हाला एक संस्था आणि अनुप्रयोग तयार करणे आवश्यक आहे.

तुम्ही बघू शकता, IQ च्या बाबतीत सेटअप काहीसे अधिक क्लिष्ट आहे, कारण आम्हाला वेगवेगळ्या “टप्प्या” (dev, build, stage, release) साठी लागू होणारी धोरणे देखील तयार करायची आहेत. हे असुरक्षित घटकांना ब्लॉक करण्यासाठी आवश्यक आहे कारण ते पाइपलाइनमधून उत्पादनाच्या जवळ जातात किंवा विकसकांद्वारे डाउनलोड केल्यावर ते Nexus रेपोमध्ये प्रवेश केल्यावर त्यांना ब्लॉक करणे आवश्यक आहे.

ओपन सोर्स आणि एंटरप्राइझमधील फरक जाणवण्यासाठी, Nexus IQ द्वारे त्याच प्रकारे स्कॅन करूया मॅव्हन प्लगइन, पूर्वी NexusIQ इंटरफेसमध्ये चाचणी अनुप्रयोग तयार केला आहे dvja-test-and-compare:

mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>

IQ वेब इंटरफेसमध्ये व्युत्पन्न केलेल्या अहवालासाठी URL चे अनुसरण करा:

येथे तुम्ही विविध महत्त्वाच्या पातळी दर्शविणारे सर्व धोरणांचे उल्लंघन पाहू शकता (माहितीपासून ते सुरक्षा क्रिटिकलपर्यंत). घटकापुढील D अक्षराचा अर्थ असा होतो की घटक थेट अवलंबित्व आहे आणि घटकापुढील अक्षर T चा अर्थ असा आहे की घटक हा Transitive Dependency आहे, म्हणजेच तो transitive आहे.

तसे, अहवाल मुक्त स्रोत सुरक्षा अहवाल 2020 राज्य Snyk कडून अहवाल दिला आहे की Node.js, Java आणि Ruby मध्ये सापडलेल्या 70% पेक्षा जास्त ओपन सोर्स असुरक्षा संक्रामक अवलंबनांमध्ये आहेत.

आम्ही Nexus IQ धोरण उल्लंघनांपैकी एक उघडल्यास, आम्ही घटकाचे वर्णन पाहू शकतो, तसेच आवृत्ती आलेख पाहू शकतो, जो वर्तमान आवृत्तीचे स्थान वेळ आलेखामध्ये दर्शवतो, तसेच असुरक्षा कोणत्या टप्प्यावर थांबते. असुरक्षित असणे. आलेखावरील मेणबत्त्यांची उंची हा घटक वापरण्याची लोकप्रियता दर्शवते.

तुम्ही असुरक्षा विभागात जाऊन CVE चा विस्तार केल्यास, तुम्ही या असुरक्षिततेचे वर्णन, निर्मूलनासाठीच्या शिफारशी तसेच या घटकाचे उल्लंघन करण्याचे कारण, म्हणजेच वर्गाची उपस्थिती वाचू शकता. DiskFileitem.class.

js घटक काढून टाकून फक्त थर्ड-पार्टी Java घटकांशी संबंधित असलेल्यांचा सारांश घेऊ. कंसात आम्ही NVD च्या बाहेर आढळलेल्या भेद्यतेची संख्या सूचित करतो.

एकूण Nexus IQ:

• स्कॅन केलेले अवलंबित्व: 62
• असुरक्षित अवलंबित्व: 16
• भेद्यता आढळली: 42 (8 सोनाटाइप डीबी)

एकूण अवलंबित्व तपासणी:

• स्कॅन केलेले अवलंबित्व: 47
• असुरक्षित अवलंबित्व: 13
• भेद्यता आढळली: 91 (14 सोनाटाइप oss)

एकूण अवलंबित्व ट्रॅक:

• स्कॅन केलेले अवलंबित्व: 59
• असुरक्षित अवलंबित्व: 10
• भेद्यता आढळली: 51 (1 सोनाटाइप oss)

पुढील चरणांमध्ये, आम्ही मिळालेल्या परिणामांचे विश्लेषण करू आणि यापैकी कोणती भेद्यता वास्तविक दोष आहे आणि कोणती चुकीची सकारात्मक आहे हे शोधून काढू.

अस्वीकरण

हे पुनरावलोकन निर्विवाद सत्य नाही. इतरांच्या पार्श्‍वभूमीवर वेगळे साधन हायलाइट करण्याचे लेखकाचे ध्येय नव्हते. पुनरावलोकनाचा मुद्दा SCA टूल्सच्या ऑपरेशनची यंत्रणा आणि त्यांचे परिणाम तपासण्याचे मार्ग दर्शविणे हा होता.

परिणामांची तुलना

अटी:

तृतीय-पक्ष घटक भेद्यतेसाठी चुकीचे सकारात्मक आहे:

• ओळखलेल्या घटकाशी CVE जुळत नाही
• उदाहरणार्थ, जर स्ट्रट्स2 फ्रेमवर्कमध्ये भेद्यता ओळखली गेली असेल आणि टूल स्ट्रट्स-टाइल्स फ्रेमवर्कच्या घटकाकडे निर्देश करत असेल, ज्यावर ही भेद्यता लागू होत नाही, तर हे चुकीचे सकारात्मक आहे
• घटकाच्या ओळखलेल्या आवृत्तीशी CVE जुळत नाही
• उदाहरणार्थ, भेद्यता python आवृत्ती > 3.5 शी जोडलेली आहे आणि टूल आवृत्ती 2.7 असुरक्षित म्हणून चिन्हांकित करते - हे चुकीचे सकारात्मक आहे, कारण खरेतर भेद्यता केवळ 3.x उत्पादन शाखेला लागू होते
• डुप्लिकेट CVE
• उदाहरणार्थ, जर SCA ने RCE सक्षम करणारे CVE निर्दिष्ट केले, तर SCA त्याच घटकासाठी CVE निर्दिष्ट करते जे त्या RCE द्वारे प्रभावित Cisco उत्पादनांना लागू होते. या प्रकरणात ते चुकीचे सकारात्मक असेल.
• उदाहरणार्थ, स्प्रिंग-वेब घटकामध्ये एक CVE आढळला, ज्यानंतर SCA स्प्रिंग फ्रेमवर्कच्या इतर घटकांमध्ये समान CVE कडे निर्देश करते, तर CVE चा इतर घटकांशी काहीही संबंध नाही. या प्रकरणात ते चुकीचे सकारात्मक असेल.

ओपन सोर्स प्रकल्प DVJA हा अभ्यासाचा उद्देश होता. अभ्यासात फक्त जावा घटक (js शिवाय) समाविष्ट होते.

सारांश परिणाम

ओळखल्या गेलेल्या भेद्यतेच्या मॅन्युअल पुनरावलोकनाच्या परिणामांकडे थेट जाऊया. प्रत्येक CVE साठी संपूर्ण अहवाल परिशिष्टात आढळू शकतो.

सर्व भेद्यतेसाठी सारांश परिणाम:

पॅरामीटर
Nexus IQ
अवलंबित्व तपासणी
अवलंबित्व ट्रॅक

एकूण असुरक्षा ओळखल्या
42
91
51

चुकीच्या पद्धतीने ओळखल्या गेलेल्या भेद्यता (खोटे सकारात्मक)
2 (4.76%)
62 (68,13%)
29 (56.86%)

कोणतीही संबंधित भेद्यता आढळली नाही (खोटे नकारात्मक)
10
20
27

घटकानुसार सारांश परिणाम:

पॅरामीटर
Nexus IQ
अवलंबित्व तपासणी
अवलंबित्व ट्रॅक

एकूण घटक ओळखले
62
47
59

एकूण असुरक्षित घटक
16
13
10

चुकीच्या पद्धतीने ओळखले जाणारे असुरक्षित घटक (खोटे सकारात्मक)
1
5
0

चुकीच्या पद्धतीने ओळखले जाणारे असुरक्षित घटक (खोटे सकारात्मक)
0
6
6

एकूण भेद्यतेच्या खोट्या सकारात्मक आणि खोट्या ऋणाच्या गुणोत्तराचे मूल्यमापन करण्यासाठी व्हिज्युअल आलेख बनवू. घटक क्षैतिजरित्या चिन्हांकित केले जातात, आणि त्यांच्यामध्ये ओळखल्या गेलेल्या भेद्यता अनुलंब चिन्हांकित केल्या जातात.

तुलनेसाठी, सोनाटाइप टीमने OWASP डिपेंडन्सी चेक वापरून 1531 घटकांच्या प्रकल्पाची चाचणी करत असाच अभ्यास केला. जसे आपण पाहू शकतो, योग्य प्रतिसाद आणि आवाजाचे गुणोत्तर आमच्या परिणामांशी तुलना करता येते.

स्त्रोत: www.sonatype.com/why-precision-matters-ebook

या निकालांचे कारण समजून घेण्यासाठी आमच्या स्कॅन परिणामांमधून काही CVE पाहू.

अधिक वाचा

नं. 1

चला प्रथम Sonatype Nexus IQ बद्दल काही मनोरंजक मुद्दे पाहू.

Nexus IQ अनेक वेळा स्प्रिंग फ्रेमवर्कमध्ये RCE कार्यान्वित करण्याच्या क्षमतेसह डिसिरियलायझेशनची समस्या दर्शवते. स्प्रिंग-वेबमध्ये CVE-2016-1000027:3.0.5 प्रथमच, आणि CVE-2011-2894 स्प्रिंग-संदर्भात:3.0.5 आणि स्प्रिंग-कोर:3.0.5. सुरुवातीला, असे दिसते की एकाधिक CVE मध्ये भेद्यतेचे डुप्लिकेशन आहे. कारण, तुम्ही NVD डेटाबेसमध्ये CVE-2016-1000027 आणि CVE-2011-2894 पाहिल्यास, असे दिसते की सर्वकाही स्पष्ट आहे.

घटक
असुरक्षितता

spring-web:3.0.5
सीव्हीई- 2016-1000027

वसंत-संदर्भ:3.0.5
सीव्हीई- 2011-2894

स्प्रिंग-कोर:3.0.5
सीव्हीई- 2011-2894

वर्णन सीव्हीई- 2011-2894 NVD कडून:


वर्णन सीव्हीई- 2016-1000027 NVD कडून:


CVE-2011-2894 स्वतःच खूप प्रसिद्ध आहे. अहवालात पांढरा स्रोत 2011 हे CVE सर्वात सामान्य म्हणून ओळखले गेले. CVE-2016-100027 चे वर्णन, तत्वतः, NVD मध्ये कमी आहेत आणि ते फक्त स्प्रिंग फ्रेमवर्क 4.1.4 साठी लागू आहे असे दिसते. चला एक नजर टाकूया संदर्भ आणि येथे सर्व काही कमी-अधिक स्पष्ट होते. पासून योग्य लेख आम्ही समजतो की मधील असुरक्षा व्यतिरिक्त RemoteInvocationSerializingExporter CVE-2011-2894 मध्ये, असुरक्षितता दिसून येते HttpInvokerServiceExporter. हे Nexus IQ आम्हाला सांगते:

तथापि, NVD मध्ये असे काहीही नाही, म्हणूनच अवलंबन तपासणी आणि अवलंबित्व ट्रॅक प्रत्येकाला खोटे नकारात्मक प्राप्त होते.

तसेच CVE-2011-2894 च्या वर्णनावरून हे समजू शकते की स्प्रिंग-संदर्भ: 3.0.5 आणि स्प्रिंग-कोर: 3.0.5 या दोन्हीमध्ये असुरक्षा आहे. याची पुष्टी ही अगतिकता आढळलेल्या व्यक्तीच्या लेखात आढळू शकते.

नं. 2

घटक
असुरक्षितता
परिणाम

struts2-core:2.3.30
सीव्हीई- 2016-4003
असत्य

आम्ही असुरक्षितता CVE-2016-4003 चा अभ्यास केल्यास, आम्हाला समजेल की ते आवृत्ती 2.3.28 मध्ये निश्चित केले गेले होते, तथापि, Nexus IQ आम्हाला त्याचा अहवाल देतो. असुरक्षिततेच्या वर्णनात एक टीप आहे:

म्हणजेच, भेद्यता केवळ JRE च्या कालबाह्य आवृत्तीच्या संयोगाने अस्तित्वात आहे, ज्याबद्दल त्यांनी आम्हाला चेतावणी देण्याचे ठरवले आहे. तरीसुद्धा, आम्ही याला चुकीचे सकारात्मक मानतो, जरी सर्वात वाईट नाही.

3 XNUMX

घटक
असुरक्षितता
परिणाम

xwork-core:2.3.30
सीव्हीई- 2017-9804
खरे

xwork-core:2.3.30
सीव्हीई- 2017-7672
असत्य

जर आपण CVE-2017-9804 आणि CVE-2017-7672 चे वर्णन पाहिले तर आपल्याला समजेल की समस्या URLValidator class, CVE-2017-9804 सह CVE-2017-7672 पासून उद्भवते. दुस-या भेद्यतेच्या उपस्थितीमुळे तिची तीव्रता जास्त झाली आहे या वस्तुस्थितीशिवाय इतर कोणतेही उपयुक्त भार वाहून जात नाही, म्हणून आपण त्यास अनावश्यक आवाज मानू शकतो.

एकूणच, Nexus IQ साठी इतर कोणतेही खोटे सकारात्मक आढळले नाहीत.

नं. 4

अशा अनेक गोष्टी आहेत ज्यामुळे बुद्ध्यांक इतर उपायांपेक्षा वेगळे बनतात.

घटक
असुरक्षितता
परिणाम

spring-web:3.0.5
सीव्हीई- 2020-5398
खरे

NVD मधील CVE असे सांगते की ते फक्त 5.2 पूर्वीच्या 5.2.3.x, 5.1 पूर्वीच्या 5.1.13.x आणि 5.0 पूर्वीच्या 5.0.16.x आवृत्त्यांना लागू होते, तथापि, आम्ही Nexus IQ मधील CVE वर्णन पाहिल्यास , नंतर आपण पुढील गोष्टी पाहू:
सल्लागार विचलन सूचना: Sonatype सुरक्षा संशोधन संघाने शोधून काढले की ही भेद्यता आवृत्ती 3.0.2.RELEASE मध्ये सादर केली गेली होती आणि सल्लागारात सांगितल्याप्रमाणे 5.0.x नाही.

या असुरक्षिततेसाठी एक PoC आहे, जे असे सांगते की ते आवृत्ती 3.0.5 मध्ये आहे.

फॉल्स निगेटिव्ह डिपेंडन्सी चेक आणि डिपेंडन्सी ट्रॅकला पाठवले जाते.

नं. 5

डिपेंडन्सी चेक आणि डिपेंडन्सी ट्रॅकसाठी फॉल्स पॉझिटिव्ह पाहू.

डिपेंडेंसी चेक हे स्पष्ट करते की ते त्या CVE ला प्रतिबिंबित करते जे NVD मधील संपूर्ण फ्रेमवर्कवर लागू होतात त्या घटकांना हे CVE लागू होत नाहीत. हे CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016-1182, CVE-1.3.8-1.3.8 तपासण्याशी संबंधित आहे. ” to struts-taglib:XNUMX आणि struts-tiles-XNUMX. या घटकांचा CVE मध्ये वर्णन केलेल्या गोष्टींशी काहीही संबंध नाही - विनंती प्रक्रिया, पृष्ठ प्रमाणीकरण इ. हे या वस्तुस्थितीमुळे आहे की या CVE आणि घटकांमध्ये जे साम्य आहे ते फक्त फ्रेमवर्क आहे, म्हणूनच अवलंबन तपासणीने याला एक असुरक्षितता मानले.

हीच परिस्थिती स्प्रिंग-टीएक्स:३.०.५ आणि स्ट्रट्स-कोर:१.३.८ ची ​​आहे. स्ट्रट्स-कोरसाठी, डिपेंडेंसी चेक आणि डिपेंडन्सी ट्रॅकमध्ये बर्‍याच असुरक्षा आढळल्या आहेत ज्या प्रत्यक्षात स्ट्रट्स3.0.5-कोरला लागू आहेत, जे मूलत: एक स्वतंत्र फ्रेमवर्क आहे. या प्रकरणात, Nexus IQ हे चित्र योग्यरित्या समजले आणि ते जारी केलेल्या CVE मध्ये, हे सूचित करते की स्ट्रट्स-कोर आयुष्याच्या शेवटच्या टप्प्यावर पोहोचला आहे आणि स्ट्रट्स1.3.8-कोरवर जाणे आवश्यक आहे.

नं. 6

काही परिस्थितींमध्ये, स्पष्ट अवलंबित्व तपासणी आणि अवलंबित्व ट्रॅक त्रुटीचा अर्थ लावणे अयोग्य आहे. विशेषत: CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014-0225, CVE-3.0.5-3.0.5 ची डीईपी आणि डीएपीएनसी तपासा स्प्रिंग-कोर:XNUMX चे श्रेय प्रत्यक्षात स्प्रिंग-वेबचे आहे:XNUMX. त्याच वेळी, यापैकी काही CVE Nexus IQ द्वारे देखील आढळले, तथापि, IQ ने त्यांना दुसर्‍या घटकासाठी योग्यरित्या ओळखले. स्प्रिंग-कोरमध्ये या असुरक्षा आढळल्या नसल्यामुळे, ते तत्त्वतः फ्रेमवर्कमध्ये नाहीत असा युक्तिवाद केला जाऊ शकत नाही आणि मुक्त स्त्रोत साधनांनी या असुरक्षा योग्यरित्या दर्शविल्या आहेत (ते थोडेसे चुकले).

निष्कर्ष

जसे आपण पाहू शकतो, मॅन्युअल पुनरावलोकनाद्वारे ओळखल्या गेलेल्या असुरक्षिततेची विश्वासार्हता निश्चित केल्याने अस्पष्ट परिणाम मिळत नाहीत, म्हणूनच विवादास्पद समस्या उद्भवतात. परिणाम असे आहेत की Nexus IQ सोल्यूशनमध्ये सर्वात कमी खोटे सकारात्मक दर आणि सर्वोच्च अचूकता आहे.

सर्व प्रथम, हे या वस्तुस्थितीमुळे आहे की सोनाटाइप टीमने प्रत्येक CVE असुरक्षिततेचे वर्णन त्याच्या डेटाबेसमध्ये NVD मधून विस्तारित केले आहे, घटकांच्या विशिष्ट आवृत्तीसाठी क्लास किंवा फंक्शनसाठी असुरक्षा दर्शविते, अतिरिक्त संशोधन आयोजित करणे (उदाहरणार्थ , जुन्या सॉफ्टवेअर आवृत्त्यांवर भेद्यता तपासत आहे).

NVD मध्ये समाविष्ट नसलेल्या असुरक्षा देखील परिणामांवर महत्त्वपूर्ण प्रभाव पाडतात, परंतु तरीही ते सोनाटाइप चिन्हासह सोनाटाइप डेटाबेसमध्ये उपस्थित आहेत. अहवालानुसार द स्टेट ऑफ ओपन सोर्स सिक्युरिटी व्हल्नेरेबिलिटीज 2020 शोधलेल्या 45% ओपन सोर्स असुरक्षा NVD ला कळवल्या जात नाहीत. व्हाईटसोर्स डेटाबेसनुसार, NVD च्या बाहेर नोंदवलेल्या सर्व ओपन सोर्स असुरक्षांपैकी फक्त 29% तेथे प्रकाशित होतात, म्हणूनच इतर स्त्रोतांमध्येही भेद्यता शोधणे महत्त्वाचे आहे.

परिणामी, अवलंबित्व तपासणी खूप आवाज निर्माण करते, काही असुरक्षित घटक गमावतात. अवलंबित्व ट्रॅक कमी आवाज निर्माण करतो आणि मोठ्या संख्येने घटक शोधतो, ज्यामुळे वेब इंटरफेसमध्ये डोळ्यांना दृष्यदृष्ट्या दुखापत होत नाही.

तथापि, सराव असे दर्शवितो की मुक्त स्रोत परिपक्व DevSecOps च्या दिशेने पहिले पाऊल बनले पाहिजे. SCA ला विकासामध्ये समाकलित करताना तुम्ही सर्वप्रथम विचार केला पाहिजे ती प्रक्रिया आहे, म्हणजे, तुमच्या संस्थेमध्ये आदर्श प्रक्रिया कशा दिसल्या पाहिजेत याबद्दल व्यवस्थापन आणि संबंधित विभागांसह एकत्रितपणे विचार करणे. असे होऊ शकते की तुमच्या संस्थेसाठी, प्रथम, अवलंबन तपासणी किंवा अवलंबित्व ट्रॅक सर्व व्यावसायिक गरजा पूर्ण करेल आणि विकसित होत असलेल्या अनुप्रयोगांच्या वाढत्या जटिलतेमुळे एंटरप्राइझ सोल्यूशन्स एक तार्किक निरंतरता असेल.

परिशिष्ट अ: घटक परिणाम
आख्यायिका:

• घटकातील उच्च-उच्च आणि गंभीर स्तरावरील भेद्यता
• मध्यम — घटकातील मध्यम गंभीरता पातळीची भेद्यता
• सत्य - खरा सकारात्मक मुद्दा
• असत्य - चुकीचा सकारात्मक मुद्दा

घटक
Nexus IQ
अवलंबित्व तपासणी
अवलंबित्व ट्रॅक
परिणाम

dom4j: 1.6.1
उच्च
उच्च
उच्च
खरे

log4j-core: 2.3
उच्च
उच्च
उच्च
खरे

log4j: 1.2.14
उच्च
उच्च
-
खरे

कॉमन-संग्रह:3.1
उच्च
उच्च
उच्च
खरे

commons-fileupload:1.3.2
उच्च
उच्च
उच्च
खरे

commons-beanutils:1.7.0
उच्च
उच्च
उच्च
खरे

commons-codec:1:10
मध्यम
-
-
खरे

mysql-connector-java:5.1.42
उच्च
उच्च
उच्च
खरे

spring-expression:3.0.5
उच्च
घटक सापडला नाही

खरे

spring-web:3.0.5
उच्च
घटक सापडला नाही
उच्च
खरे

वसंत-संदर्भ:3.0.5
मध्यम
घटक सापडला नाही
-
खरे

स्प्रिंग-कोर:3.0.5
मध्यम
उच्च
उच्च
खरे

struts2-config-browser-plugin:2.3.30
मध्यम
-
-
खरे

spring-tx:3.0.5
-
उच्च
-
असत्य

struts-core:1.3.8
उच्च
उच्च
उच्च
खरे

xwork-core: 2.3.30
उच्च
-
-
खरे

struts2-core: 2.3.30
उच्च
उच्च
उच्च
खरे

struts-taglib:1.3.8
-
उच्च
-
असत्य

struts-tiles-1.3.8
-
उच्च
-
असत्य

परिशिष्ट B: असुरक्षितता परिणाम
आख्यायिका:

• घटकातील उच्च-उच्च आणि गंभीर स्तरावरील भेद्यता
• मध्यम — घटकातील मध्यम गंभीरता पातळीची भेद्यता
• सत्य - खरा सकारात्मक मुद्दा
• असत्य - चुकीचा सकारात्मक मुद्दा

घटक
Nexus IQ
अवलंबित्व तपासणी
अवलंबित्व ट्रॅक
गंभीरता
परिणाम
एक टिप्पणी

dom4j: 1.6.1
सीव्हीई- 2018-1000632
सीव्हीई- 2018-1000632
सीव्हीई- 2018-1000632
उच्च
खरे

सीव्हीई- 2020-10683
सीव्हीई- 2020-10683
सीव्हीई- 2020-10683
उच्च
खरे

log4j-core: 2.3
सीव्हीई- 2017-5645
सीव्हीई- 2017-5645
सीव्हीई- 2017-5645
उच्च
खरे

सीव्हीई- 2020-9488
सीव्हीई- 2020-9488
सीव्हीई- 2020-9488
कमी
खरे

log4j: 1.2.14
सीव्हीई- 2019-17571
सीव्हीई- 2019-17571
-
उच्च
खरे

-
सीव्हीई- 2020-9488
-
कमी
खरे

SONATYPE-2010-0053
-
-
उच्च
खरे

कॉमन-संग्रह:3.1
-
सीव्हीई- 2015-6420
सीव्हीई- 2015-6420
उच्च
असत्य
डुप्लिकेट RCE(OSSINDEX)

-
सीव्हीई- 2017-15708
सीव्हीई- 2017-15708
उच्च
असत्य
डुप्लिकेट RCE(OSSINDEX)

SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
उच्च
खरे

commons-fileupload:1.3.2
सीव्हीई- 2016-1000031
सीव्हीई- 2016-1000031
सीव्हीई- 2016-1000031
उच्च
खरे

SONATYPE-2014-0173
-
-
मध्यम
खरे

commons-beanutils:1.7.0
सीव्हीई- 2014-0114
सीव्हीई- 2014-0114
सीव्हीई- 2014-0114
उच्च
खरे

-
सीव्हीई- 2019-10086
सीव्हीई- 2019-10086
उच्च
असत्य
भेद्यता केवळ 1.9.2+ आवृत्त्यांवर लागू होते

commons-codec:1:10
SONATYPE-2012-0050
-
-
मध्यम
खरे

mysql-connector-java:5.1.42
सीव्हीई- 2018-3258
सीव्हीई- 2018-3258
सीव्हीई- 2018-3258
उच्च
खरे

सीव्हीई- 2019-2692
सीव्हीई- 2019-2692
-
मध्यम
खरे

-
सीव्हीई- 2020-2875
-
मध्यम
असत्य
CVE-2019-2692 सारखीच भेद्यता, परंतु "हल्ले अतिरिक्त उत्पादनांवर लक्षणीय परिणाम करू शकतात" या नोंदीसह

-
सीव्हीई- 2017-15945
-
उच्च
असत्य
mysql-connector-java शी संबंधित नाही

-
सीव्हीई- 2020-2933
-
कमी
असत्य
CVE-2020-2934 ची डुप्लिकेट

सीव्हीई- 2020-2934
सीव्हीई- 2020-2934
-
मध्यम
खरे

spring-expression:3.0.5
सीव्हीई- 2018-1270
घटक सापडला नाही
-
उच्च
खरे

सीव्हीई- 2018-1257
-
-
मध्यम
खरे

spring-web:3.0.5
सीव्हीई- 2016-1000027
घटक सापडला नाही
-
उच्च
खरे

सीव्हीई- 2014-0225
-
सीव्हीई- 2014-0225
उच्च
खरे

सीव्हीई- 2011-2730
-
-
उच्च
खरे

-
-
सीव्हीई- 2013-4152
मध्यम
खरे

सीव्हीई- 2018-1272
-
-
उच्च
खरे

सीव्हीई- 2020-5398
-
-
उच्च
खरे
IQ च्या बाजूने एक स्पष्ट उदाहरण: "Sonatype सुरक्षा संशोधन कार्यसंघाने शोधून काढले की ही भेद्यता आवृत्ती 3.0.2.RELEASE मध्ये सादर केली गेली होती आणि सल्लागारात सांगितल्याप्रमाणे 5.0.x नाही."

सीव्हीई- 2013-6429
-
-
मध्यम
खरे

सीव्हीई- 2014-0054
-
सीव्हीई- 2014-0054
मध्यम
खरे

सीव्हीई- 2013-6430
-
-
मध्यम
खरे

वसंत-संदर्भ:3.0.5
सीव्हीई- 2011-2894
घटक सापडला नाही
-
मध्यम
खरे

स्प्रिंग-कोर:3.0.5
-
सीव्हीई- 2011-2730
सीव्हीई- 2011-2730
उच्च
खरे

सीव्हीई- 2011-2894
सीव्हीई- 2011-2894
सीव्हीई- 2011-2894
मध्यम
खरे

-
-
सीव्हीई- 2013-4152
मध्यम
असत्य
स्प्रिंग-वेबमधील समान भेद्यतेची डुप्लिकेट

-
सीव्हीई- 2013-4152
-
मध्यम
असत्य
भेद्यता स्प्रिंग-वेब घटकाशी संबंधित आहे

-
सीव्हीई- 2013-6429
सीव्हीई- 2013-6429
मध्यम
असत्य
भेद्यता स्प्रिंग-वेब घटकाशी संबंधित आहे

-
सीव्हीई- 2013-6430
-
मध्यम
असत्य
भेद्यता स्प्रिंग-वेब घटकाशी संबंधित आहे

-
सीव्हीई- 2013-7315
सीव्हीई- 2013-7315
मध्यम
असत्य
CVE-2013-4152 मधून स्प्लिट. + असुरक्षा स्प्रिंग-वेब घटकाशी संबंधित आहे

-
सीव्हीई- 2014-0054
सीव्हीई- 2014-0054
मध्यम
असत्य
भेद्यता स्प्रिंग-वेब घटकाशी संबंधित आहे

-
सीव्हीई- 2014-0225
-
उच्च
असत्य
भेद्यता स्प्रिंग-वेब घटकाशी संबंधित आहे

-
-
सीव्हीई- 2014-0225
उच्च
असत्य
स्प्रिंग-वेबमधील समान भेद्यतेची डुप्लिकेट

-
सीव्हीई- 2014-1904
सीव्हीई- 2014-1904
मध्यम
असत्य
भेद्यता स्प्रिंग-वेब-एमव्हीसी घटकाशी संबंधित आहे

-
सीव्हीई- 2014-3625
सीव्हीई- 2014-3625
मध्यम
असत्य
भेद्यता स्प्रिंग-वेब-एमव्हीसी घटकाशी संबंधित आहे

-
सीव्हीई- 2016-9878
सीव्हीई- 2016-9878
उच्च
असत्य
भेद्यता स्प्रिंग-वेब-एमव्हीसी घटकाशी संबंधित आहे

-
सीव्हीई- 2018-1270
सीव्हीई- 2018-1270
उच्च
असत्य
स्प्रिंग-अभिव्यक्ती/स्प्रिंग-संदेशांसाठी

-
सीव्हीई- 2018-1271
सीव्हीई- 2018-1271
मध्यम
असत्य
भेद्यता स्प्रिंग-वेब-एमव्हीसी घटकाशी संबंधित आहे

-
सीव्हीई- 2018-1272
सीव्हीई- 2018-1272
उच्च
खरे

सीव्हीई- 2014-3578
CVE-2014-3578 (OSSINDEX)
सीव्हीई- 2014-3578
मध्यम
खरे

SONATYPE-2015-0327
-
-
कमी
खरे

struts2-config-browser-plugin:2.3.30
SONATYPE-2016-0104
-
-
मध्यम
खरे

spring-tx:3.0.5
-
सीव्हीई- 2011-2730
-
उच्च
असत्य
असुरक्षा spring-tx साठी विशिष्ट नाही

-
सीव्हीई- 2011-2894
-
उच्च
असत्य
असुरक्षा spring-tx साठी विशिष्ट नाही

-
सीव्हीई- 2013-4152
-
मध्यम
असत्य
असुरक्षा spring-tx साठी विशिष्ट नाही

-
सीव्हीई- 2013-6429
-
मध्यम
असत्य
असुरक्षा spring-tx साठी विशिष्ट नाही

-
सीव्हीई- 2013-6430
-
मध्यम
असत्य
असुरक्षा spring-tx साठी विशिष्ट नाही

-
सीव्हीई- 2013-7315
-
मध्यम
असत्य
असुरक्षा spring-tx साठी विशिष्ट नाही

-
सीव्हीई- 2014-0054
-
मध्यम
असत्य
असुरक्षा spring-tx साठी विशिष्ट नाही

-
सीव्हीई- 2014-0225
-
उच्च
असत्य
असुरक्षा spring-tx साठी विशिष्ट नाही

-
सीव्हीई- 2014-1904
-
मध्यम
असत्य
असुरक्षा spring-tx साठी विशिष्ट नाही

-
सीव्हीई- 2014-3625
-
मध्यम
असत्य
असुरक्षा spring-tx साठी विशिष्ट नाही

-
सीव्हीई- 2016-9878
-
उच्च
असत्य
असुरक्षा spring-tx साठी विशिष्ट नाही

-
सीव्हीई- 2018-1270
-
उच्च
असत्य
असुरक्षा spring-tx साठी विशिष्ट नाही

-
सीव्हीई- 2018-1271
-
मध्यम
असत्य
असुरक्षा spring-tx साठी विशिष्ट नाही

-
सीव्हीई- 2018-1272
-
मध्यम
असत्य
असुरक्षा spring-tx साठी विशिष्ट नाही

struts-core:1.3.8
-
CVE-2011-5057 (OSSINDEX)

मध्यम
FASLE
स्ट्रट्सची असुरक्षा 2

-
CVE-2012-0391 (OSSINDEX)
सीव्हीई- 2012-0391
उच्च
असत्य
स्ट्रट्सची असुरक्षा 2

-
CVE-2014-0094 (OSSINDEX)
सीव्हीई- 2014-0094
मध्यम
असत्य
स्ट्रट्सची असुरक्षा 2

-
CVE-2014-0113 (OSSINDEX)
सीव्हीई- 2014-0113
उच्च
असत्य
स्ट्रट्सची असुरक्षा 2

सीव्हीई- 2016-1182
3VE-2016-1182
-
उच्च
खरे

-
-
सीव्हीई- 2011-5057
मध्यम
असत्य
स्ट्रट्सची असुरक्षा 2

-
CVE-2012-0392 (OSSINDEX)
सीव्हीई- 2012-0392
उच्च
असत्य
स्ट्रट्सची असुरक्षा 2

-
CVE-2012-0393 (OSSINDEX)
सीव्हीई- 2012-0393
मध्यम
असत्य
स्ट्रट्सची असुरक्षा 2

सीव्हीई- 2015-0899
सीव्हीई- 2015-0899
-
उच्च
खरे

-
सीव्हीई- 2012-0394
सीव्हीई- 2012-0394
मध्यम
असत्य
स्ट्रट्सची असुरक्षा 2

-
CVE-2012-0838 (OSSINDEX)
सीव्हीई- 2012-0838
उच्च
असत्य
स्ट्रट्सची असुरक्षा 2

-
CVE-2013-1965 (OSSINDEX)
सीव्हीई- 2013-1965
उच्च
असत्य
स्ट्रट्सची असुरक्षा 2

-
CVE-2013-1966 (OSSINDEX)
सीव्हीई- 2013-1966
उच्च
FASLE
स्ट्रट्सची असुरक्षा 2

-
सीव्हीई- 2013-2115
सीव्हीई- 2013-2115
उच्च
FASLE
स्ट्रट्सची असुरक्षा 2

-
CVE-2013-2134 (OSSINDEX)
सीव्हीई- 2013-2134
उच्च
FASLE
स्ट्रट्सची असुरक्षा 2

-
CVE-2013-2135 (OSSINDEX)
सीव्हीई- 2013-2135
उच्च
FASLE
स्ट्रट्सची असुरक्षा 2

सीव्हीई- 2014-0114
सीव्हीई- 2014-0114
-
उच्च
खरे

-
सीव्हीई- 2015-2992
सीव्हीई- 2015-2992
मध्यम
असत्य
स्ट्रट्सची असुरक्षा 2

-
CVE-2016-0785 (OSSINDEX)
सीव्हीई- 2016-0785
उच्च
असत्य
स्ट्रट्सची असुरक्षा 2

सीव्हीई- 2016-1181
सीव्हीई- 2016-1181
-
उच्च
खरे

-
CVE-2016-4003 (OSSINDEX)
सीव्हीई- 2016-4003
उच्च
असत्य
स्ट्रट्सची असुरक्षा 2

xwork-core:2.3.30
सीव्हीई- 2017-9804
-
-
उच्च
खरे

SONATYPE-2017-0173
-
-
उच्च
खरे

सीव्हीई- 2017-7672
-
-
उच्च
असत्य
CVE-2017-9804 ची डुप्लिकेट

SONATYPE-2016-0127
-
-
उच्च
खरे

struts2-core:2.3.30
-
सीव्हीई- 2016-6795
सीव्हीई- 2016-6795
उच्च
खरे

-
सीव्हीई- 2017-9787
सीव्हीई- 2017-9787
उच्च
खरे

-
सीव्हीई- 2017-9791
सीव्हीई- 2017-9791
उच्च
खरे

-
सीव्हीई- 2017-9793
-
उच्च
असत्य
CVE-2018-1327 ची डुप्लिकेट

-
सीव्हीई- 2017-9804
-
उच्च
खरे

-
सीव्हीई- 2017-9805
सीव्हीई- 2017-9805
उच्च
खरे

सीव्हीई- 2016-4003
-
-
मध्यम
असत्य
Apache Struts 2.x वर 2.3.28 पर्यंत लागू, जे आवृत्ती 2.3.30 आहे. तथापि, वर्णनावर आधारित, JRE 2 किंवा त्यापेक्षा कमी वापरल्यास CVE स्ट्रट्स 1.7 च्या कोणत्याही आवृत्तीसाठी वैध आहे. वरवर पाहता त्यांनी येथे आमचा पुनर्विमा करण्याचा निर्णय घेतला, परंतु ते अधिक चुकीचे दिसते

-
सीव्हीई- 2018-1327
सीव्हीई- 2018-1327
उच्च
खरे

सीव्हीई- 2017-5638
सीव्हीई- 2017-5638
सीव्हीई- 2017-5638
उच्च
खरे
इक्विफॅक्स हॅकर्सनी 2017 मध्ये त्याच असुरक्षिततेचा फायदा घेतला

सीव्हीई- 2017-12611
सीव्हीई- 2017-12611
-
उच्च
खरे

सीव्हीई- 2018-11776
सीव्हीई- 2018-11776
सीव्हीई- 2018-11776
उच्च
खरे

struts-taglib:1.3.8
-
सीव्हीई- 2012-0394
-
मध्यम
असत्य
struts2-कोर साठी

-
सीव्हीई- 2013-2115
-
उच्च
असत्य
struts2-कोर साठी

-
सीव्हीई- 2014-0114
-
उच्च
असत्य
कॉमन्स-बीनटील्ससाठी

-
सीव्हीई- 2015-0899
-
उच्च
असत्य
Taglib ला लागू होत नाही

-
सीव्हीई- 2015-2992
-
मध्यम
असत्य
struts2-core संदर्भित

-
सीव्हीई- 2016-1181
-
उच्च
असत्य
Taglib ला लागू होत नाही

-
सीव्हीई- 2016-1182
-
उच्च
असत्य
Taglib ला लागू होत नाही

struts-tiles-1.3.8
-
सीव्हीई- 2012-0394
-
मध्यम
असत्य
struts2-कोर साठी

-
सीव्हीई- 2013-2115
-
उच्च
असत्य
struts2-कोर साठी

-
सीव्हीई- 2014-0114
-
उच्च
असत्य
कॉमन्स-बीन्युटील्स अंतर्गत

-
सीव्हीई- 2015-0899
-
उच्च
असत्य
टाइलला लागू होत नाही

-
सीव्हीई- 2015-2992
-
मध्यम
असत्य
struts2-कोर साठी

-
सीव्हीई- 2016-1181
-
उच्च
असत्य
Taglib ला लागू होत नाही

-
सीव्हीई- 2016-1182
-
उच्च
असत्य
Taglib ला लागू होत नाही

स्त्रोत: www.habr.com