वापरलेल्या लायब्ररींसाठी असुरक्षा स्कॅनर वापरणे - गिटलॅबसीआयमध्ये अवलंबित्व तपासा

असुरक्षितता व्यवस्थापनाचा एक महत्त्वाचा भाग म्हणजे आधुनिक प्रणाली बनविणाऱ्या सॉफ्टवेअर घटकांची पुरवठा साखळी पूर्णपणे समजून घेणे आणि सुरक्षित करणे. चपळ आणि DevOps कार्यसंघ विकास वेळ आणि खर्च कमी करण्यासाठी मुक्त स्त्रोत लायब्ररी आणि फ्रेमवर्कचा व्यापक वापर करतात. परंतु या पदकाला एक नकारात्मक बाजू देखील आहे: इतर लोकांच्या चुका आणि असुरक्षा वारशाने घेण्याची संधी.

साहजिकच, संघाने त्याच्या ऍप्लिकेशन्समध्ये कोणते ओपन सोर्स घटक समाविष्ट केले आहेत हे जाणून घेणे सुनिश्चित केले पाहिजे, ज्ञात विश्वसनीय आवृत्त्या ज्ञात विश्वसनीय स्त्रोतांकडून डाउनलोड केल्या गेल्या आहेत याची खात्री करा आणि नवीन शोधलेल्या भेद्यता पॅच झाल्यानंतर घटकांच्या अद्यतनित आवृत्त्या डाउनलोड करा.

या पोस्टमध्ये, तुमच्या कोडमध्ये गंभीर समस्या आढळल्यास बिल्ड रद्द करण्यासाठी आम्ही OWASP डिपेंडन्सी चेक वापरणार आहोत.

"डेव्हलपमेंट सिक्युरिटी इन एजाइल प्रोजेक्ट्स" या पुस्तकात खालीलप्रमाणे वर्णन केले आहे. OWASP डिपेंडन्सी चेक हे एक विनामूल्य स्कॅनर आहे जे ऍप्लिकेशनमध्ये वापरलेले सर्व ओपन सोर्स घटक कॅटलॉग करते आणि त्यात असलेल्या भेद्यता दाखवते. Java, .NET, Ruby (gemspec), PHP (संगीतकार), Node.js आणि Python, तसेच काही C/C++ प्रकल्पांसाठी आवृत्त्या आहेत. डिपेंडन्सी चेक अँट, मॅवेन आणि ग्रॅडल आणि जेनकिन्स सारख्या सतत एकीकरण सर्व्हरसह सामान्य बिल्ड टूल्ससह एकत्रित होते.

डिपेंडन्सी चेक NIST च्या नॅशनल व्हल्नेरेबिलिटी डेटाबेस (NVD) वरून ज्ञात भेद्यता असलेल्या सर्व घटकांचा अहवाल देतो आणि NVD न्यूज फीड्समधील डेटासह अद्यतनित केला जातो.

सुदैवाने, हे सर्व ओडब्ल्यूएएसपी डिपेंडेंसी चेक प्रोजेक्ट किंवा व्यावसायिक प्रोग्राम सारख्या साधनांचा वापर करून स्वयंचलितपणे केले जाऊ शकते. ब्लॅक डक, जेफ्रॉग एक्सरे, Snyk, Nexus Lifecycle सोनाटाईप किंवा सोर्स क्लियर.

ही साधने ओपन सोर्स अवलंबनांची आपोआप यादी तयार करण्यासाठी बिल्ड पाइपलाइनमध्ये समाविष्ट केली जाऊ शकतात, ज्ञात असुरक्षा असलेल्या लायब्ररी आणि लायब्ररींच्या कालबाह्य आवृत्त्या ओळखा आणि गंभीर समस्या आढळल्यास बिल्ड रद्द करा.

OWASP अवलंबित्व तपासणी

डिपेंडेंसी चेक कसे कार्य करते याची चाचणी आणि प्रात्यक्षिक करण्यासाठी, आम्ही हे भांडार वापरतो अवलंबित्व-तपासणी-उदाहरण.

HTML अहवाल पाहण्यासाठी, तुम्हाला तुमच्या gitlab-runner वर nginx वेब सर्व्हर कॉन्फिगर करणे आवश्यक आहे.

किमान nginx कॉन्फिगरेशनचे उदाहरण:

server {
    listen       9999;
    listen       [::]:9999;
    server_name  _;
    root         /home/gitlab-runner/builds;

    location / {
        autoindex on;
    }

    error_page 404 /404.html;
        location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }
}

संमेलनाच्या शेवटी आपण हे चित्र पाहू शकता:

दुव्याचे अनुसरण करा आणि अवलंबन तपासणी अहवाल पहा.

पहिला स्क्रीनशॉट हा सारांशासह अहवालाचा वरचा भाग आहे.

दुसरा स्क्रीनशॉट तपशील CVE-2017-5638. येथे आपण CVE पातळी आणि शोषणांचे दुवे पाहतो.

तिसरा स्क्रीनशॉट log4j-api-2.7.jar चा तपशील आहे. आम्ही पाहतो की CVE पातळी 7.5 आणि 9.8 आहेत.

चौथा स्क्रीनशॉट Commons-fileupload-1.3.2.jar चा तपशील आहे. आम्ही पाहतो की CVE पातळी 7.5 आणि 9.8 आहेत.

जर तुम्हाला गिटलॅब पृष्ठे वापरायची असतील तर ते कार्य करणार नाही - पडलेल्या कार्यामुळे आर्टिफॅक्ट तयार होणार नाही.

येथे उदाहरण https://gitlab.com/anton_patsev/dependency-check-example-gitlab-pages.

आउटपुट तयार करा: कोणतीही कलाकृती नाही, मला html अहवाल दिसत नाही. तुम्ही आर्टिफॅक्ट वापरून पहा: नेहमी

https://gitlab.com/anton_patsev/dependency-check-example-gitlab-pages/-/jobs/400004246

CVE असुरक्षा पातळीचे नियमन करणे

gitlab-ci.yaml फाईलमधील सर्वात महत्वाची ओळ:

mvn $MAVEN_CLI_OPTS test org.owasp:dependency-check-maven:check -DfailBuildOnCVSS=7

failBuildOnCVSS पॅरामीटरसह तुम्ही CVE भेद्यतेची पातळी समायोजित करू शकता ज्याला तुम्हाला प्रतिसाद देण्याची आवश्यकता आहे.

इंटरनेटवरून NIST Vulnerability Database (NVD) डाउनलोड करणे

तुमच्या लक्षात आले आहे का की NIST सतत NIST व्हलनरेबिलिटी डेटाबेस (NVD) इंटरनेटवरून डाउनलोड करते:

डाउनलोड करण्यासाठी, आपण उपयुक्तता वापरू शकता nist_data_mirror_golang

चला ते स्थापित आणि लॉन्च करूया.

yum -y install yum-plugin-copr
yum copr enable antonpatsev/nist_data_mirror_golang
yum -y install nist-data-mirror
systemctl start nist-data-mirror

Nist-data-mirror स्टार्टअपवर NIST JSON CVE /var/www/repos/nist-data-mirror/ वर अपलोड करते आणि दर 24 तासांनी डेटा अपडेट करते.

CVE JSON NIST डाउनलोड करण्यासाठी, तुम्हाला nginx वेब सर्व्हर कॉन्फिगर करणे आवश्यक आहे (उदाहरणार्थ, तुमच्या gitlab-runner वर).

किमान nginx कॉन्फिगरेशनचे उदाहरण:

server {
    listen       12345;
    listen       [::]:12345;
    server_name  _;
    root         /var/www/repos/nist-data-mirror/;

    location / {
        autoindex on;
    }

    error_page 404 /404.html;
        location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }

}

जेथे mvn लाँच केले आहे तेथे लांबलचक रेषा बनवू नये म्हणून, आम्ही पॅरामीटर्स वेगळ्या व्हेरिएबल DEPENDENCY_OPTS मध्ये हलवू.

अंतिम किमान कॉन्फिगरेशन .gitlab-ci.yml असे दिसेल:

variables:
  MAVEN_OPTS: "-Dhttps.protocols=TLSv1.2 -Dmaven.repo.local=$CI_PROJECT_DIR/.m2/repository -Dorg.slf4j.simpleLogger.log.org.apache.maven.cli.transfer.Slf4jMavenTransferListener=WARN -Dorg.slf4j.simpleLogger.showDateTime=true -Djava.awt.headless=true"
  MAVEN_CLI_OPTS: "--batch-mode --errors --fail-at-end --show-version -DinstallAtEnd=true -DdeployAtEnd=true"
  DEPENDENCY_OPTS: "-DfailBuildOnCVSS=7 -DcveUrlModified=http://localhost:12345/nvdcve-1.1-modified.json.gz -DcveUrlBase=http://localhost:12345/nvdcve-1.1-%d.json.gz"

cache:
  paths:
    - .m2/repository

verify:
  stage: test
  script:
    - set +e
    - mvn $MAVEN_CLI_OPTS install org.owasp:dependency-check-maven:check $DEPENDENCY_OPTS || EXIT_CODE=$?
    - export PATH_WITHOUT_HOME=$(pwd | sed -e "s//home/gitlab-runner/builds//g")
    - echo "************************* URL Dependency-check-report.html *************************"
    - echo "http://$HOSTNAME:9999$PATH_WITHOUT_HOME/target/dependency-check-report.html"
    - set -e
    - exit ${EXIT_CODE}
  tags:
    - shell

DevOps आणि सुरक्षिततेबद्दल टेलीग्राम चॅट
टेलिग्राम चॅनेल DevSecOps / SSDLC - सुरक्षित विकास

स्त्रोत: www.habr.com