DevSecOps- လုပ်ငန်းဆောင်ရွက်မှု အခြေခံမူများနှင့် SCA ၏ နှိုင်းယှဉ်ချက်။ အပိုင်းတစ်

Synopsys၊ Sonatype၊ Snyk နှင့် White Source တို့မှထုတ်ဝေသော open source စာကြည့်တိုက်များ၏ အားနည်းချက်များနှင့်ပတ်သက်ပြီး နှစ်စဉ်အစီရင်ခံစာများထုတ်ပြန်ခြင်းဖြင့် ပြင်ပကုမ္ပဏီဆော့ဖ်ဝဲအစိတ်အပိုင်းများ (Software Composition Analysis - SCA) ၏အရေးပါမှု ကြီးထွားလာပါသည်။ . အစီရင်ခံစာအရ သိရသည်။ Open Source Security Vulnerabilities 2020 ၏အခြေအနေ ပရောဂျက်များ၏ 2019% မှ 1.5% သည် ပရောဂျက်များ၏ 60% မှ 80% ကိုအသုံးပြုသော်လည်း open source အစိတ်အပိုင်းများကို 2020 ခုနှစ်တွင် ဖော်ထုတ်ထားသော open source အားနည်းချက်အရေအတွက်သည် ယခင်နှစ်နှင့် နှိုင်းယှဉ်ပါက XNUMX ဆနီးပါး တိုးလာပါသည်။ သီးခြားအခြေခံအားဖြင့်၊ SCA လုပ်ငန်းစဉ်များသည် ရင့်ကျက်မှု၏ညွှန်ပြချက်အဖြစ် OWASP SAMM နှင့် BSIMM ၏ သီးခြားအလေ့အကျင့်တစ်ခုဖြစ်ပြီး XNUMX ခုနှစ် ပထမနှစ်ဝက်တွင် OWASP မှ OWASP Software Component Verification Standard (SCVS) အသစ်ကို ထုတ်ပြန်ခဲ့ပြီး တတိယ- အတည်ပြုခြင်းအတွက် အကောင်းဆုံးအလေ့အကျင့်များကို ပံ့ပိုးပေးပါသည်။ ထောက်ပံ့ရေးကွင်းဆက်ရှိ BY.

သရုပ်ဖော်မှု အရှိဆုံး ကိစ္စများထဲမှ တစ်ခု ဖြစ်ပျက်ခဲ့သည်။ မေလ 2017 တွင် Equifax နှင့် အမည်မသိ တိုက်ခိုက်သူများသည် အမည်အပြည့်အစုံ၊ လိပ်စာများ၊ လူမှုဖူလုံရေးနံပါတ်များနှင့် ယာဉ်မောင်းလိုင်စင်များ အပါအဝင် အမေရိကန်လူမျိုး ၁၄၃ သန်း၏ အချက်အလက်များကို ရယူခဲ့သည်။ အမှုပေါင်း 143 တွင်၊ စာရွက်စာတမ်းများတွင် သေဆုံးသူများ၏ ဘဏ်ကတ်များနှင့်ပတ်သက်သည့် အချက်အလက်များလည်း ပါဝင်သည်။ ဤပေါက်ကြားမှုသည် Apache Struts 209 (CVE-000-2) တွင် အရေးပါသော အားနည်းချက်ကို အသုံးချခြင်းကြောင့် ထွက်ပေါ်လာခြင်းဖြစ်ပြီး ပြုပြင်မှုကို 2017 ခုနှစ် မတ်လတွင် ပြန်လည်ထုတ်ပြန်ခဲ့ပြီးဖြစ်သည်။ ကုမ္ပဏီသည် အပ်ဒိတ်ကို တပ်ဆင်ရန် နှစ်လ အချိန်ယူခဲ့သော်လည်း မည်သူမျှ ၎င်းကို အနှောင့်အယှက်မပေးပေ။

ဤဆောင်းပါးတွင် ခွဲခြမ်းစိတ်ဖြာမှုရလဒ်များ၏ အရည်အသွေးကို ရှုထောင့်မှ SCA လုပ်ဆောင်ရန် ကိရိယာကို ရွေးချယ်ခြင်းဆိုင်ရာ ပြဿနာကို ဆွေးနွေးပါမည်။ ကိရိယာများ၏ လုပ်ဆောင်ချက်ဆိုင်ရာ နှိုင်းယှဉ်ချက်ကိုလည်း ပေးပါမည်။ CI/CD တွင် ပေါင်းစည်းခြင်း လုပ်ငန်းစဉ်နှင့် ပေါင်းစည်းခြင်း စွမ်းရည်များကို နောက်ဆက်တွဲ ထုတ်ဝေမှုများ အတွက် ချန်ထားခဲ့ပါမည်။ ကျယ်ပြန့်သောကိရိယာများကို OWASP မှတင်ပြခဲ့သည်။ သင့် site ပေါ်တွင်သို့သော် လက်ရှိပြန်လည်သုံးသပ်မှုတွင် ကျွန်ုပ်တို့သည် လူသိနည်းသော open source ပလပ်ဖောင်း Dependency Track နှင့် Enterprise ဖြေရှင်းချက် Sonatype Nexus IQ တို့ကိုသာ ထိတွေ့နိုင်မည်ဖြစ်သည်။ ဤဖြေရှင်းနည်းများသည် မည်သို့အလုပ်လုပ်သည်ကို နားလည်ပြီး မှားယွင်းသောအပြုသဘောများအတွက် ရရှိသောရလဒ်များကို နှိုင်းယှဉ်ပါမည်။

ဘယ်လိုအလုပ်လုပ်တယ်

မှီခိုမှုစစ်ဆေးခြင်း။ ပရောဂျက်ဖိုင်များကို ခွဲခြမ်းစိတ်ဖြာခြင်း၊ မှီခိုမှုဆိုင်ရာ အချက်အလက်အပိုင်းအစများ (ပက်ကေ့ဂျ်အမည်၊ အုပ်စုလိုက်၊ သတ်မှတ်ချက်ခေါင်းစဉ်၊ ဗားရှင်း...)၊ CPE (Common Platform Enumeration) လိုင်းကို ဖန်တီးပေးသည့် အသုံးဝင်မှုတစ်ခု (CLI၊ maven၊ jenkins၊ ant) ၊ Package URL ( PURL ) နှင့် ဒေတာဘေ့စ်များ (NVD၊ Sonatype OSS Index၊ NPM Audit API...) မှ CPE/PURL အတွက် အားနည်းချက်များကို ခွဲခြားသတ်မှတ်ပြီးနောက် ၎င်းသည် HTML၊ JSON၊ XML ဖော်မတ်ဖြင့် တစ်ကြိမ်တည်း အစီရင်ခံစာကို တည်ဆောက်သည်...

CPE က ဘယ်လိုပုံစံလဲဆိုတာ ကြည့်ရအောင်။

cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other

• အပိုင်း: အစိတ်အပိုင်းသည် အပလီကေးရှင်း (က)၊ လည်ပတ်မှုစနစ် (o)၊ ဟာ့ဒ်ဝဲ (ဇ) (လိုအပ်သည်) နှင့် သက်ဆိုင်ကြောင်း ညွှန်ပြခြင်း၊
• ရောင်းချသူ ကုန်ပစ္စည်းထုတ်လုပ်သူအမည် (လိုအပ်သည်)
• ကုန်ပစ္စည်း: ကုန်ပစ္စည်းအမည် (လိုအပ်သည်)
• version: အစိတ်အပိုင်းဗားရှင်း ( အသုံးမပြုတော့သည့်အရာ )
• အပ်ဒိတ်: အထုပ်အပ်ဒိတ်
• Edition ကို: အဟောင်းဗားရှင်း (ကန့်ကွက်ထားသော အရာ)
• ဘာသာစကား: RFC-5646 တွင် သတ်မှတ်ထားသော ဘာသာစကား
• SW ထုတ်ဝေမှု- ဆော့ဖ်ဝဲဗားရှင်း
• ပစ်မှတ် SW- ထုတ်ကုန်လည်ပတ်နေသည့် ဆော့ဖ်ဝဲပတ်ဝန်းကျင်
• ပစ်မှတ် HW- ထုတ်ကုန်လည်ပတ်သည့် ဟာ့ဒ်ဝဲပတ်ဝန်းကျင်
• သည်အခြား: ပေးသွင်းသူ သို့မဟုတ် ထုတ်ကုန်အချက်အလက်

ဥပမာ CPE သည် ဤကဲ့သို့ ဖြစ်သည်-

cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*

မျဉ်းသည် CPE ဗားရှင်း 2.3 သည် ထုတ်လုပ်သူထံမှ အပလီကေးရှင်းအစိတ်အပိုင်းကို ဖော်ပြသည်ဟု ဆိုလိုသည်။ pivotal_software ခေါင်းစဉ်နှင့်အတူ spring_framework ဗားရှင်း 3.0.0 ဖွင့်လိုက်ရင် အားနည်းချက်ရှိတယ်။ CVE-2014-0225 NVD တွင်၊ ဤ CPE ၏ဖော်ပြချက်ကိုကျွန်ုပ်တို့တွေ့နိုင်သည်။ သင်ချက်ချင်းအာရုံစိုက်သင့်သည့် ပထမဆုံးပြဿနာမှာ CPE အရ NVD တွင် CVE သည် မူဘောင်အတွင်း ပြဿနာတစ်ခုအား အစီရင်ခံသည်ဖြစ်ပြီး သီးခြားအစိတ်အပိုင်းတစ်ခုတွင်မဟုတ်ပေ။ ဆိုလိုသည်မှာ၊ developer များသည် framework နှင့် တင်းတင်းကျပ်ကျပ် ချိတ်ဆက်ထားပြီး၊ ဖော်ထုတ်ထားသော အားနည်းချက်သည် developer များအသုံးပြုသည့် module များကို မထိခိုက်စေပါက၊ လုံခြုံရေး ကျွမ်းကျင်သူသည် ဤ CVE ကို ဖြုတ်ပြီး အပ်ဒိတ်လုပ်ရန် စဉ်းစားရန် တစ်နည်းမဟုတ်တစ်နည်း လုပ်ဆောင်မည်ဖြစ်သည်။

URL ကို SCA ကိရိယာများမှလည်း အသုံးပြုပါသည်။ ပက်ကေ့ခ်ျ URL ဖော်မတ်မှာ အောက်ပါအတိုင်းဖြစ်သည်-

scheme:type/namespace/name@version?qualifiers#subpath

• အစီအစဉ်- ၎င်းသည် ပက်ကေ့ခ်ျ URL (လိုအပ်သည်) ဖြစ်ကြောင်း ညွှန်ပြသော 'pkg' သည် အမြဲရှိလိမ့်မည်
• အမျိုးအစား: ပက်ကေ့ဂျ်၏ "အမျိုးအစား" သို့မဟုတ် maven၊ npm၊ nuget၊ ကျောက်မျက်၊ pypi စသည်ဖြင့်၊ (လိုအပ်သောပစ္စည်း)
• Namespace- Maven အဖွဲ့ ID၊ Docker ပုံပိုင်ရှင်၊ GitHub အသုံးပြုသူ သို့မဟုတ် အဖွဲ့အစည်းကဲ့သို့ အချို့သော အမည်ရှေ့ဆက်။ ရွေးချယ်နိုင်သည်နှင့်အမျိုးအစားပေါ် မူတည်.
• အမည်: ပက်ကေ့ဂျ်အမည် (လိုအပ်သည်)
• version: Package ဗားရှင်း
• ခြေစစ်ပွဲများ- OS၊ ဗိသုကာပညာ၊ ဖြန့်ဖြူးရေးစသည်ဖြင့် ပက်ကေ့ဂျ်အတွက် အရည်အချင်းပြည့်မီသောဒေတာ၊ ရွေးချယ်နိုင်သောနှင့် အမျိုးအစားအလိုက်။
• လမ်းကြောင်း- ပက်ကေ့ဂျ်အမြစ်နှင့် ဆက်စပ်သော ပက်ကေ့ဂျ်ရှိ အပိုလမ်းကြောင်း

ဥပမာ:

pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]

မှီခိုမှုလမ်းကြောင်း — အဆင်သင့်လုပ်ထားသော Bill of Materials (BOM) ကို လက်ခံသည့် ပြင်ပဝဘ်ပလက်ဖောင်းတစ်ခု CycloneDX и SPDXဆိုလိုသည်မှာ၊ ရှိပြီးသားမှီခိုမှုဆိုင်ရာ အဆင်သင့်လုပ်ထားသော သတ်မှတ်ချက်များဖြစ်သည်။ ၎င်းသည် မှီခိုမှု-အမည်၊ hashes၊ package url၊ ထုတ်ဝေသူ၊ လိုင်စင်တို့ကို ဖော်ပြသည့် XML ဖိုင်တစ်ခုဖြစ်သည်။ ထို့နောက်၊ Dependency Track သည် BOM ကို ခွဲခြမ်းစိပ်ဖြာပြီး အားနည်းချက်ဒေတာဘေ့စ် (NVD၊ Sonatype OSS Index...) မှ ခွဲခြားသတ်မှတ်ထားသော မှီခိုမှုများအတွက် ရရှိနိုင်သော CVE များကို ကြည့်ရှုပြီးနောက် ၎င်းသည် ဂရပ်ဖစ်များတည်ဆောက်ခြင်း၊ မက်ထရစ်များကို တွက်ချက်ခြင်း၊ အစိတ်အပိုင်းများ၏ အားနည်းချက်အခြေအနေရှိ ဒေတာကို ပုံမှန်မွမ်းမံခြင်း .

BOM သည် XML ဖော်မတ်တွင် မည်သို့မည်ပုံရှိမည်ကို ဥပမာ-

<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
  <components>
    <component type="library">
      <publisher>Apache</publisher>
      <group>org.apache.tomcat</group>
      <name>tomcat-catalina</name>
      <version>9.0.14</version>
      <hashes>
        <hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
        <hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
        <hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
        <hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
      </hashes>
      <licenses>
        <license>
          <id>Apache-2.0</id>
        </license>
      </licenses>
      <purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
    </component>
      <!-- More components here -->
  </components>
</bom>

BOM ကို Dependency Track အတွက် input parameters များအဖြစ်သာမက၊ ဥပမာ၊ သုံးစွဲသူတစ်ဦးအား ဆော့ဖ်ဝဲလ်ပံ့ပိုးပေးရန်အတွက် ထောက်ပံ့မှုကွင်းဆက်ရှိ ဆော့ဖ်ဝဲအစိတ်အပိုင်းများကို စာရင်းပြုစုခြင်းအတွက်လည်း အသုံးပြုနိုင်သည်။ 2014 ခုနှစ်တွင် အမေရိကန်ပြည်ထောင်စု၌ပင် ဥပဒေတစ်ရပ်ကို အဆိုပြုခဲ့သည်။ "ဆိုက်ဘာ ထောက်ပံ့မှု ကွင်းဆက် စီမံခန့်ခွဲမှုနှင့် ပွင့်လင်းမြင်သာမှု အက်ဥပဒေ 2014"ဆော့ဖ်ဝဲလ်ဝယ်ယူသည့်အခါတွင်ဖော်ပြထားသော မည်သည့်ပြည်နယ်၊ အင်စတီကျူးရှင်းသည် ထိခိုက်လွယ်သောအစိတ်အပိုင်းများအသုံးပြုခြင်းကို တားဆီးရန် BOM ကို တောင်းဆိုရမည်ဖြစ်ပြီး၊ သို့သော် ယင်းလုပ်ရပ်သည် အသက်ဝင်ခြင်းမရှိသေးပါ။

SCA သို့ ပြန်သွားရန်၊ မှီခိုမှုလမ်းကြောင်းသည် Slack ကဲ့သို့သော အကြောင်းကြားချက်ပလပ်ဖောင်းများ၊ Kenna Security ကဲ့သို့ အားနည်းချက် စီမံခန့်ခွဲမှုစနစ်များနှင့် အဆင်သင့်ပြုလုပ်ထားသော ပေါင်းစပ်မှုများရှိသည်။ အခြားအရာများထဲမှ Dependency Track သည် ခေတ်မမီတော့သော ပက်ကေ့ဂျ်များ၏ ဗားရှင်းများကို ခွဲခြားသတ်မှတ်ပြီး လိုင်စင်များအကြောင်း အချက်အလက်များကို ပေးဆောင်သည် (SPDX အထောက်အပံ့ကြောင့်) ဖြစ်သည်ဟုလည်း ဆိုရကျိုးနပ်သည်။

SCA ၏ အရည်အသွေးအကြောင်း အထူးပြောလျှင် အခြေခံကျသော ကွာခြားချက်ရှိပါသည်။

Dependency Track သည် ပရောဂျက်ကို ထည့်သွင်းမှုအဖြစ် လက်မခံသော်လည်း BOM မှ လက်ခံပါသည်။ ဆိုလိုသည်မှာ ကျွန်ုပ်တို့သည် ပရောဂျက်ကို စမ်းသပ်လိုပါက၊ ဥပမာ CycloneDX ကို အသုံးပြု၍ bom.xml ကို ဦးစွာ ထုတ်လုပ်ရန် လိုအပ်ပါသည်။ ထို့ကြောင့် Dependency Track သည် CycloneDX ပေါ်တွင် တိုက်ရိုက်မှီခိုနေပါသည်။ တစ်ချိန်တည်းမှာပင်၊ ၎င်းသည်စိတ်ကြိုက်ပြင်ဆင်မှုကိုခွင့်ပြုသည်။ OZON အဖွဲ့ က ဒီလိုရေးထားတာ CycloneDX မော်ဂျူး Dependency Track မှတဆင့် နောက်ထပ်စကင်န်ဖတ်ရန်အတွက် Golang ပရောဂျက်များအတွက် BOM ဖိုင်များကို စုစည်းခြင်း။

Nexus IQ Nexus Repository Manager လည်းပါဝင်သည့် Sonatype ဂေဟစနစ်၏တစ်စိတ်တစ်ပိုင်းဖြစ်သည့် Sonatype မှ စီးပွားဖြစ် SCA ဖြေရှင်းချက်တစ်ခုဖြစ်သည်။ သင့်အဖွဲ့အစည်းသည် CycloneDX မှ ဖြေရှင်းချက်အသစ်သို့ မပြောင်းရသေးပါက Nexus IQ သည် ဝဘ်အင်တာဖေ့စ် သို့မဟုတ် API မှတစ်ဆင့် စစ်ပွဲမှတ်တမ်းများ (java ပရောဂျက်များအတွက်) နှင့် BOM တို့ကို ထည့်သွင်းနိုင်သည်ဟု လက်ခံနိုင်သည်။ open source ဖြေရှင်းချက်များနှင့်မတူဘဲ၊ IQ သည် CP/PURL ကို ဖော်ထုတ်ထားသော အစိတ်အပိုင်းနှင့် ဒေတာဘေ့စ်ရှိ သက်ဆိုင်ရာ အားနည်းချက်ကို ရည်ညွှန်းသည်သာမက၊ ဥပမာ၊ အားနည်းချက်ရှိသော လုပ်ဆောင်မှု သို့မဟုတ် အတန်း၏ အမည်ကို ၎င်း၏ကိုယ်ပိုင်သုတေသနတွင် ထည့်သွင်းစဉ်းစားသည်။ ရလဒ်များ၏ခွဲခြမ်းစိတ်ဖြာမှုတွင် IQ ၏ယန္တရားများကိုနောက်ပိုင်းတွင်ဆွေးနွေးလိမ့်မည်။

လုပ်ဆောင်နိုင်သော အင်္ဂါရပ်အချို့ကို အကျဉ်းချုပ်ကြည့်ရအောင်၊ ခွဲခြမ်းစိတ်ဖြာရန်အတွက် ပံ့ပိုးပေးထားသော ဘာသာစကားများကိုလည်း ထည့်သွင်းစဉ်းစားကြပါစို့။

ဘာသာစကား
Nexus IQ
မှီခိုမှုစစ်ဆေးခြင်း။
မှီခိုမှုလမ်းကြောင်း

ဂျာဗား
+
+
+

ကို C / C ++
+
+
-

C#
+
+
-

.Net
+
+
+

erlang
-
-
+

JavaScript (NodeJS)
+
+
+

PHP ကို
+
+
+

Python ကို
+
+
+

ပတ္တမြား
+
+
+

perl
-
-
-

Scala
+
+
+

ရည်ရွယ်ချက် C
+
+
-

ဆွစ်ဖ်
+
+
-

R
+
-
-

Go
+
+
+

လုပ်ဆောင်နိုင်စွမ်းကို

လုပ်ဆောင်နိုင်စွမ်းကို
Nexus IQ
မှီခိုမှုစစ်ဆေးခြင်း။
မှီခိုမှုလမ်းကြောင်း

အရင်းအမြစ်ကုဒ်တွင် အသုံးပြုထားသော အစိတ်အပိုင်းများကို လိုင်စင်ရ သန့်စင်မှု ရှိမရှိ စစ်ဆေးကြောင်း သေချာစေသည့် စွမ်းရည်
+
-
+

Docker ပုံများအတွက် အားနည်းချက်များနှင့် လိုင်စင်သန့်ရှင်းမှုအတွက် စကန်ဖတ်ပြီး ခွဲခြမ်းစိတ်ဖြာနိုင်မှု
+ Clair နှင့်ပေါင်းစပ်ခြင်း။
-
-

open source စာကြည့်တိုက်များကို အသုံးပြုရန် လုံခြုံရေးမူဝါဒများကို ပြင်ဆင်သတ်မှတ်နိုင်မှု
+
-
-

အားနည်းချက်ရှိသော အစိတ်အပိုင်းများအတွက် open source repositories ကို စကင်န်ဖတ်နိုင်မှု
+ RubyGems၊ Maven၊ NPM၊ Nuget၊ Pypi၊ Conan၊ Bower၊ Conda၊ Go၊ p2၊ R၊ Yum၊ Helm၊ Docker၊ CocoaPods၊ Git LFS
-
+ Hex၊ RubyGems၊ Maven၊ NPM၊ Nuget၊ Pypi

အထူးပြု သုတေသနအဖွဲ့၏ ရရှိမှု
+
-
-

ကွင်းပိတ်လည်ပတ်မှု
+
+
+

တတိယပါတီဒေတာဘေ့စ်ကိုအသုံးပြုခြင်း။
+ ပိတ်ထားသော Sonatype ဒေတာဘေ့စ်
+ Sonatype OSS၊ NPM အများသူငှာ အကြံပေးပုဂ္ဂိုလ်များ
+ Sonatype OSS၊ NPM Public Advisors၊ RetireJS၊ VulnDB၊ ၎င်း၏ကိုယ်ပိုင်အားနည်းချက်ဒေတာဘေ့စ်အတွက်ပံ့ပိုးမှု

စီစဉ်သတ်မှတ်ထားသော မူဝါဒများနှင့်အညီ ဖွံ့ဖြိုးတိုးတက်မှု လည်ပတ်မှုသို့ တင်ရန် ကြိုးစားသောအခါတွင် open source အစိတ်အပိုင်းများကို စစ်ထုတ်နိုင်စွမ်း
+
-
-

အားနည်းချက်များကို ပြုပြင်ရန် အကြံပြုချက်များ၊ ပြုပြင်ရန်လင့်ခ်များ ရရှိနိုင်မှု
+
+- (အများပြည်သူဒေတာဘေ့စ်များတွင်ဖော်ပြချက်ပေါ်တွင်မူတည်သည်)
+- (အများပြည်သူဒေတာဘေ့စ်များတွင်ဖော်ပြချက်ပေါ်တွင်မူတည်သည်)

ပြင်းထန်မှုအလိုက် တွေ့ရှိသော အားနည်းချက်များကို အဆင့်သတ်မှတ်ခြင်း။
+
+
+

အခန်းကဏ္ဍအခြေခံဝင်ရောက်ခွင့် မော်ဒယ်
+
-
+

CLI ပံ့ပိုးမှု
+
+
+- (CycloneDX အတွက်သာ)

သတ်မှတ်ထားသော စံနှုန်းများနှင့်အညီ အားနည်းချက်များကို နမူနာယူခြင်း/အမျိုးအစားခွဲခြင်း။
+
-
+

လျှောက်လွှာအခြေအနေအရ ဒက်ရှ်ဘုတ်
+
-
+

အစီရင်ခံစာများကို PDF ဖော်မတ်ဖြင့် ထုတ်လုပ်ခြင်း။
+
-
-

အစီရင်ခံစာများကို JSONCSV ဖော်မတ်ဖြင့် ထုတ်လုပ်ခြင်း။
+
+
-

ရုရှားဘာသာစကားပံ့ပိုးမှု
-
-
-

ပေါင်းစည်းနိုင်မှု

ပေါင်းစည်းမှု
Nexus IQ
မှီခိုမှုစစ်ဆေးခြင်း။
မှီခိုမှုလမ်းကြောင်း

LDAP/Active Directory ပေါင်းစပ်မှု
+
-
+

ပေါင်းစည်းခြင်း နှင့် စဉ်ဆက်မပြတ် ပေါင်းစည်းမှုစနစ် ဝါး
+
-
-

စဉ်ဆက်မပြတ်ပေါင်းစည်းမှုစနစ် TeamCity နှင့်ပေါင်းစည်းခြင်း။
+
-
-

စဉ်ဆက်မပြတ်ပေါင်းစည်းမှုစနစ် GitLab နှင့်ပေါင်းစပ်ခြင်း။
+
+- (GitLab အတွက် ပလပ်အင်တစ်ခုအဖြစ်)
+

စဉ်ဆက်မပြတ်ပေါင်းစပ်မှုစနစ် Jenkins နှင့်ပေါင်းစည်းခြင်း။
+
+
+

IDE အတွက် ပလပ်အင်များ ရရှိနိုင်မှု
+ IntelliJ၊ Eclipse၊ Visual Studio
-
-

ကိရိယာ၏ ဝဘ်ဝန်ဆောင်မှုများ (API) မှတစ်ဆင့် စိတ်ကြိုက်ပေါင်းစပ်မှုအတွက် ပံ့ပိုးမှု
+
-
+

မှီခိုမှုစစ်ဆေးခြင်း။

ပထမဦးဆုံးအဖွင့်

တမင်တကာ ထိခိုက်လွယ်သော အပလီကေးရှင်းတစ်ခုပေါ်တွင် မှီခိုမှုစစ်ဆေးခြင်းကို လုပ်ဆောင်ကြပါစို့ DVJA.

ဒီအတွက် ကျွန်တော်တို့ သုံးမယ်။ မှီခိုမှု Maven Plugin ကို စစ်ဆေးပါ။:

mvn org.owasp:dependency-check-maven:check

ရလဒ်အနေဖြင့်၊ မှီခိုမှု-စစ်ဆေးခြင်း-report.html ကို ပစ်မှတ်လမ်းညွှန်တွင် ပေါ်လာပါမည်။

ဖိုင်ကိုဖွင့်ကြည့်ရအောင်။ အားနည်းချက်စုစုပေါင်း၏ အနှစ်ချုပ်အချက်အလက်များပြီးနောက်၊ ပက်ကေ့ဂျ်၊ CPE နှင့် CVE အရေအတွက်တို့ကို ညွှန်ပြသော ပြင်းထန်မှုနှင့် ယုံကြည်စိတ်ချရမှု မြင့်မားသောအဆင့်ဖြင့် အားနည်းချက်များအကြောင်း အချက်အလက်ကို ကျွန်ုပ်တို့ မြင်တွေ့နိုင်ပါသည်။

နောက်တစ်ခုက ပိုပြီးအသေးစိတ်အချက်အလက်၊ အထူးသဖြင့် ဆုံးဖြတ်ချက်ချခဲ့တဲ့ အခြေခံအချက် (အထောက်အထား) ဖြစ်တဲ့ BOM တစ်ခုပါ။

နောက်တစ်ခုကတော့ CPE၊ PURL နဲ့ CVE ဖော်ပြချက်ပါ။ စကားမစပ်၊ NVD ဒေတာဘေ့စ်တွင် ၎င်းတို့၏ မရှိခြင်းကြောင့် ပြုပြင်ခြင်းအတွက် အကြံပြုချက်များ မပါဝင်ပါ။

စကင်န်ရလဒ်များကိုစနစ်တကျကြည့်ရှုရန်၊ သင်သည် အနည်းငယ်မျှသောဆက်တင်များဖြင့် Nginx ကိုပြင်ဆင်သတ်မှတ်နိုင်သည်၊ သို့မဟုတ် ရရှိလာသောချို့ယွင်းချက်များကို Dependency Check သို့ချိတ်ဆက်သူများကို ပံ့ပိုးပေးသည့် ချို့ယွင်းချက်စီမံခန့်ခွဲမှုစနစ်သို့ ပေးပို့နိုင်ပါသည်။ ဥပမာ Defect Dojo။

မှီခိုမှုလမ်းကြောင်း

ustanovka

Dependency Track သည် ပြသသည့်ဂရပ်များပါရှိသော ဝဘ်အခြေခံပလပ်ဖောင်းတစ်ခုဖြစ်သောကြောင့် ပြင်ပအဖွဲ့အစည်းဖြေရှင်းချက်တစ်ခုတွင် ချို့ယွင်းချက်များကို သိမ်းဆည်းခြင်းအတွက် ဖိအားပေးသည့်ပြဿနာမှာ ဤနေရာတွင် ပေါ်မလာပါ။
ထည့်သွင်းမှုအတွက် ပံ့ပိုးပေးထားသော script များမှာ- Docker၊ WAR၊ Executable WAR ဖြစ်သည်။

ပထမဦးဆုံးအဖွင့်

ကျွန်ုပ်တို့လည်ပတ်နေသောဝန်ဆောင်မှု၏ URL သို့သွားပါ။ ကျွန်ုပ်တို့သည် admin/admin မှတစ်ဆင့် လော့ဂ်အင်ဝင်ပြီး၊ အကောင့်ဝင်ခြင်းနှင့် စကားဝှက်ကို ပြောင်းလဲပြီးနောက် Dashboard သို့သွားပါ။ နောက်တစ်ခုကတော့ Java မှာ စမ်းသပ်တဲ့ application တစ်ခုအတွက် ပရောဂျက်တစ်ခု ဖန်တီးပါ။ ပင်မ/ပရောဂျက်များ → ပရောဂျက်ဖန်တီးပါ။ . DVJA ကို ဥပမာအနေနဲ့ ယူကြည့်ရအောင်။

Dependency Track သည် BOM ကို ထည့်သွင်းမှုအဖြစ်သာ လက်ခံနိုင်သောကြောင့် ဤ BOM ကို ပြန်လည်ရယူရပါမည်။ အခွင့်ကောင်းယူကြပါစို့ CycloneDX Maven ပလပ်အင်:

mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom

ကျွန်ုပ်တို့သည် bom.xml ကို ရယူပြီး ဖန်တီးထားသော ပရောဂျက်တွင် ဖိုင်ကို တင်ပါ။ DVJA → မှီခိုမှု → BOM ကို အပ်လုဒ်လုပ်ပါ။.

Administration → Analyzers သို့ သွားကြပါစို့။ ကျွန်ုပ်တို့တွင် NVD ပါ၀င်သော Internal Analyzer ကိုဖွင့်ထားသည်ဟု ကျွန်ုပ်တို့နားလည်ပါသည်။ Sonatype OSS Index ကိုလည်း ချိတ်ဆက်ကြည့်ရအောင်။

ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ ပရောဂျက်အတွက် အောက်ဖော်ပြပါပုံကို ရရှိပါသည်။

စာရင်းတွင်လည်း Sonatype OSS နှင့် သက်ဆိုင်သော အားနည်းချက်တစ်ခုကို တွေ့နိုင်သည်-

အဓိက စိတ်ပျက်ရခြင်းမှာ မှီခိုမှုလမ်းကြောင်းသည် မှီခိုအားထားမှု စစ်ဆေးခြင်း xml အစီရင်ခံစာများကို လက်မခံတော့ပါ။ Dependency Check ပေါင်းစပ်မှု၏ နောက်ဆုံးပံ့ပိုးပေးထားသော ဗားရှင်းများမှာ 1.0.0 - 4.0.2 ဖြစ်ပြီး ကျွန်ုပ် 5.3.2 ကို စမ်းသပ်နေစဉ်။

ဒီမှာ видео (နှင့် ဒီမှာ) ဖြစ်နိုင်သေးတယ်။

Nexus IQ

ပထမဦးဆုံးအဖွင့်

Nexus IQ ကို ထည့်သွင်းခြင်းသည် မော်ကွန်းတိုက်များမှ လာပါသည်။ စာရွက်စာတမ်းသို့သော် ဤရည်ရွယ်ချက်များအတွက် ကျွန်ုပ်တို့သည် Docker ပုံတစ်ခုကို တည်ဆောက်ခဲ့သည်။

ကွန်ဆိုးလ်သို့ လော့ဂ်အင်ဝင်ပြီးနောက်၊ သင်သည် အဖွဲ့အစည်းနှင့် အပလီကေးရှင်းတစ်ခု ဖန်တီးရန် လိုအပ်သည်။

သင်တွေ့မြင်ရသည့်အတိုင်း၊ IQ ၏ကိစ္စရပ်တွင် စနစ်ထည့်သွင်းမှုသည် အနည်းငယ်ရှုပ်ထွေးသည်၊ အဘယ်ကြောင့်ဆိုသော် ကျွန်ုပ်တို့သည် မတူညီသော “အဆင့်များ” (dev၊ build, stage, release) တို့အတွက် သက်ဆိုင်သည့်မူဝါဒများကို ဖန်တီးရန်လိုအပ်သောကြောင့်ဖြစ်သည်။ ထုတ်လုပ်မှုနှင့်ပိုမိုနီးကပ်သောပိုက်လိုင်းမှတဆင့် အားနည်းသောအစိတ်အပိုင်းများကို ပိတ်ဆို့ရန် သို့မဟုတ် ဆော့ဖ်ဝဲရေးသားသူများမှဒေါင်းလုဒ်လုပ်သည့်အခါ Nexus Repo သို့ရောက်ရှိသည်နှင့်တပြိုင်နက် ၎င်းတို့ကိုပိတ်ဆို့ရန် လိုအပ်ပါသည်။

open source နှင့် လုပ်ငန်းအကြား ခြားနားချက်ကို ခံစားနိုင်ရန်၊ Nexus IQ မှတဆင့် တူညီသောစကင်န်ကို လုပ်ဆောင်ကြပါစို့ Maven plugin ကိုNexusIQ အင်တာဖေ့စ်တွင် စမ်းသပ်မှုအပလီကေးရှင်းကို ယခင်က ဖန်တီးခဲ့ပြီးဖြစ်သည်။ dvja-test-and-compare:

mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>

IQ ဝဘ်အင်တာဖေ့စ်တွင် ထုတ်လုပ်ထားသော အစီရင်ခံစာအတွက် URL ကို လိုက်နာပါ-

ဤနေရာတွင် မတူညီသော အရေးပါမှုအဆင့်များကို ညွှန်ပြသော မူဝါဒချိုးဖောက်မှုများအားလုံးကို (Info မှ Security Critical အထိ) တွေ့နိုင်ပါသည်။ အစိတ်အပိုင်းဘေးရှိ အက္ခရာ D သည် အစိတ်အပိုင်းအား တိုက်ရိုက်မှီခိုမှုဖြစ်ကြောင်း နှင့် အစိတ်အပိုင်း၏ဘေးရှိ အက္ခရာ T သည် အစိတ်အပိုင်းသည် အကူးအပြောင်းမှီခိုမှုဖြစ်သည်၊ ဆိုလိုသည်မှာ ၎င်းသည် အကူးအပြောင်းဖြစ်သည်။

စကားမစပ် Open Source လုံခြုံရေးအစီရင်ခံစာ 2020 အခြေအနေ Node.js၊ Java နှင့် Ruby တို့တွင် ရှာဖွေတွေ့ရှိထားသော open source အားနည်းချက်များ၏ 70% ကျော်သည် အကူးအပြောင်း မှီခိုနေရသည်ဟု Snyk မှ အစီရင်ခံပါသည်။

Nexus IQ မူဝါဒချိုးဖောက်မှုများထဲမှ တစ်ခုကို ဖွင့်ပါက၊ အချိန်ဂရပ်ရှိ လက်ရှိဗားရှင်း၏တည်နေရာကိုပြသသည့် အစိတ်အပိုင်း၏ဖော်ပြချက်အပြင် ဗားရှင်းဂရပ်ကို ကျွန်ုပ်တို့တွေ့မြင်နိုင်သည်၊ ၎င်းအပြင် အားနည်းချက်သည် မည်သည့်အချက်တွင် ရပ်တန့်သွားသည် အားနည်းချက်ရှိပါစေ။ ဂရပ်ပေါ်ရှိ ဖယောင်းတိုင်များ၏ အမြင့်သည် ဤအစိတ်အပိုင်းကို အသုံးပြုခြင်း၏ ရေပန်းစားမှုကို ပြသသည်။

အကယ်၍ သင်သည် အားနည်းချက်များ ကဏ္ဍကို သွားပြီး CVE ကို ချဲ့ထွင်ပါက၊ ဤအားနည်းချက်၏ ဖော်ပြချက်၊ ဖယ်ရှားရန် အကြံပြုချက်များ အပြင် ဤအစိတ်အပိုင်းကို ချိုးဖောက်ခဲ့သည့် အကြောင်းရင်း၊ ဆိုလိုသည်မှာ အတန်း၏ ရှိနေခြင်းကို သင်ဖတ်နိုင်သည်။ DiskFileitem.class.

js အစိတ်အပိုင်းများကို ဖယ်ရှားပြီး Third-party Java အစိတ်အပိုင်းများနှင့် သက်ဆိုင်သည့်အရာများကိုသာ အကျဉ်းချုပ်ကြည့်ကြပါစို့။ ကွင်းအတွင်းတွင် ကျွန်ုပ်တို့သည် NVD ပြင်ပတွင် တွေ့ရှိရသည့် အားနည်းချက်အရေအတွက်ကို ညွှန်ပြပါသည်။

စုစုပေါင်း Nexus IQ-

• မှီခိုမှုစကင်န်ဖတ်ခြင်း- 62
• အားနည်းသော မှီခိုမှု- ၁၆
• အားနည်းချက်များ တွေ့ရှိသည်- 42 (8 sonatype db)

စုစုပေါင်း မှီခိုမှု စစ်ဆေးချက်-

• မှီခိုမှုစကင်န်ဖတ်ခြင်း- 47
• အားနည်းသော မှီခိုမှု- ၁၆
• အားနည်းချက်များ တွေ့ရှိသည်- 91 (14 sonatype oss)

စုစုပေါင်းမှီခိုမှုလမ်းကြောင်း-

• မှီခိုမှုစကင်န်ဖတ်ခြင်း- 59
• အားနည်းသော မှီခိုမှု- ၁၆
• အားနည်းချက်များ တွေ့ရှိသည်- 51 (1 sonatype oss)

နောက်အဆင့်များတွင် ကျွန်ုပ်တို့သည် ရရှိလာသောရလဒ်များကို ခွဲခြမ်းစိတ်ဖြာပြီး အဆိုပါအားနည်းချက်များထဲမှ မည်သည့်ချို့ယွင်းချက်သည် တကယ့်ချို့ယွင်းချက်ဖြစ်ပြီး မည်သည့်အရာသည် မှားယွင်းသောအပြုသဘောဖြစ်သည်ကို ရှာဖွေဖော်ထုတ်ပါမည်။

ရှင်းလင်းချက်

ဤသုံးသပ်ချက်သည် ငြင်းခုံနိုင်သော အမှန်တရားတစ်ခုမဟုတ်ပါ။ စာရေးသူသည် အခြားသူများ၏နောက်ခံနှင့် ဆန့်ကျင်ဘက် သီးခြားတူရိယာတစ်ခုကို မီးမောင်းထိုးပြရန် ရည်မှန်းချက်မရှိပေ။ ပြန်လည်သုံးသပ်ခြင်း၏အချက်မှာ SCA ကိရိယာများ၏ လည်ပတ်မှုယန္တရားများနှင့် ၎င်းတို့၏ရလဒ်များကို စစ်ဆေးရန်နည်းလမ်းများကို ပြသရန်ဖြစ်သည်။

ရလဒ်များကိုနှိုင်းယှဉ်

စည်းမျဉ်းစည်းကမ်းများနှင့်အခွအေနမြေား:

Third-party အစိတ်အပိုင်း အားနည်းချက်များအတွက် false positive မှာ-

• CVE သည် သတ်မှတ်ထားသော အစိတ်အပိုင်းနှင့် မကိုက်ညီပါ။
• ဥပမာအားဖြင့်၊ struts2 framework တွင် အားနည်းချက်တစ်ခုအား ဖော်ထုတ်တွေ့ရှိပါက၊ tool သည် struts-tiles framework ၏ အစိတ်အပိုင်းတစ်ခုသို့ ညွှန်ပြနေလျှင်၊ ဤအားနည်းချက်သည် အသုံးမပြုနိုင်သော၊ ၎င်းသည် false positive ဖြစ်သည်။
• CVE သည် အစိတ်အပိုင်း၏ ဖော်ထုတ်ထားသောဗားရှင်းနှင့် မကိုက်ညီပါ။
• ဥပမာအားဖြင့်၊ အားနည်းချက်ကို python ဗားရှင်း > 3.5 နှင့် ချိတ်ဆက်ထားပြီး tool သည် ဗားရှင်း 2.7 ကို အားနည်းချက်အဖြစ် အမှတ်အသားပြုထားသည် - အမှန်မှာ အားနည်းချက်သည် 3.x ထုတ်ကုန်ဌာနခွဲနှင့်သာ သက်ဆိုင်သောကြောင့်၊ ၎င်းသည် မှားယွင်းသောအပြုသဘောတစ်ခုဖြစ်သည်။
• CVE ကို ပွားပါ။
• ဥပမာအားဖြင့်၊ SCA သည် RCE ကိုဖွင့်ပေးသည့် CVE ကိုသတ်မှတ်ပါက၊ SCA သည် ထို RCE မှသက်ရောက်မှုရှိသော Cisco ထုတ်ကုန်များနှင့်သက်ဆိုင်သည့် အလားတူအစိတ်အပိုင်းအတွက် CVE ကို သတ်မှတ်ပေးသည်။ ဤကိစ္စတွင်၎င်းသည် false positive ဖြစ်လိမ့်မည်။
• ဥပမာအားဖြင့်၊ CVE သည် အခြားသော အစိတ်အပိုင်းများနှင့် ဘာမှမဆိုင်သော်လည်း SCA သည် Spring Framework ၏ အခြားသော အစိတ်အပိုင်းများတွင် တူညီသော CVE ကို ညွှန်ပြပြီးနောက် CVE ကို စပရိန်ဝဘ် အစိတ်အပိုင်းတစ်ခုတွင် တွေ့ရှိခဲ့သည်။ ဤကိစ္စတွင်၎င်းသည် false positive ဖြစ်လိမ့်မည်။

လေ့လာမှု၏ရည်ရွယ်ချက်မှာ Open Source ပရောဂျက် DVJA ဖြစ်သည်။ လေ့လာမှုတွင် java အစိတ်အပိုင်းများ (js မပါသော) များသာ ပါဝင်ခဲ့သည်။

အနှစ်ချုပ်ရလဒ်များ

ဖော်ထုတ်ထားသော အားနည်းချက်များကို ကိုယ်တိုင်ပြန်လည်သုံးသပ်ခြင်း၏ ရလဒ်ဆီသို့ တိုက်ရိုက်သွားကြပါစို့။ CVE တစ်ခုစီအတွက် အစီရင်ခံစာအပြည့်အစုံကို နောက်ဆက်တွဲတွင် တွေ့ရှိနိုင်ပါသည်။

အားနည်းချက်အားလုံးအတွက် အကျဉ်းချုပ်ရလဒ်များ-

parameter သည်
Nexus IQ
မှီခိုမှုစစ်ဆေးခြင်း။
မှီခိုမှုလမ်းကြောင်း

စုစုပေါင်း အားနည်းချက်များကို ဖော်ထုတ်ခဲ့သည်။
42
91
51

မှားယွင်းစွာ ဖော်ထုတ်ထားသော အားနည်းချက်များ (false positive)
2 (4.76%)
62 (68,13%)
29 (56.86%)

သက်ဆိုင်ရာ အားနည်းချက်များ မတွေ့ရှိရပါ (false negative)
10
20
27

အစိတ်အပိုင်းအလိုက် ရလဒ်အကျဉ်းချုပ်-

parameter သည်
Nexus IQ
မှီခိုမှုစစ်ဆေးခြင်း။
မှီခိုမှုလမ်းကြောင်း

စုစုပေါင်း အစိတ်အပိုင်းများကို ဖော်ထုတ်ခဲ့သည်။
62
47
59

စုစုပေါင်း အားနည်းချက်ရှိသော အစိတ်အပိုင်းများ
16
13
10

မှားယွင်းစွာသတ်မှတ်ထားသော ထိခိုက်လွယ်သောအစိတ်အပိုင်းများ (false positive)
1
5
0

မှားယွင်းစွာသတ်မှတ်ထားသော ထိခိုက်လွယ်သောအစိတ်အပိုင်းများ (false positive)
0
6
6

အားနည်းချက်များ၏ စုစုပေါင်းအရေအတွက်နှင့် မှားယွင်းသော အပြုသဘောနှင့် မှားယွင်းသော အနုတ်လက္ခဏာအချိုးကို အကဲဖြတ်ရန် အမြင်အာရုံဂရပ်များ တည်ဆောက်ကြပါစို့။ အစိတ်အပိုင်းများကို အလျားလိုက် အမှတ်အသားပြုထားပြီး ၎င်းတို့တွင် တွေ့ရှိရသော အားနည်းချက်များကို ဒေါင်လိုက် မှတ်သားထားသည်။

နှိုင်းယှဉ်မှုအတွက်၊ OWASP မှီခိုမှုစစ်ဆေးခြင်းကို အသုံးပြု၍ အစိတ်အပိုင်း 1531 ပရောဂျက်တစ်ခုအား Sonatype အဖွဲ့မှ စမ်းသပ်ခြင်းပြုလုပ်ခဲ့သည်။ ကျွန်ုပ်တို့မြင်နိုင်သည်အတိုင်း၊ မှန်ကန်သောတုံ့ပြန်မှုများနှင့် ဆူညံသံအချိုးသည် ကျွန်ုပ်တို့၏ရလဒ်များနှင့် နှိုင်းယှဉ်နိုင်သည်။

source: www.sonatype.com/why-precision-matters-ebook

ဤရလဒ်များကို နားလည်ရန် ကျွန်ုပ်တို့၏စကင်န်ရလဒ်များမှ အချို့သော CVE များကို ကြည့်ကြပါစို့။

ပိုများသော

№1

Sonatype Nexus IQ နှင့်ပတ်သက်သော စိတ်ဝင်စားဖွယ်အချက်အချို့ကို ဦးစွာကြည့်ကြပါစို့။

Nexus IQ သည် Spring Framework တွင် RCE လုပ်ဆောင်နိုင်စွမ်းနှင့် deserialization နှင့် ပတ်သက်၍ အကြိမ်များစွာ ညွှန်ပြပါသည်။ Spring-web-2016 တွင် CVE-1000027-3.0.5 ပထမအကြိမ်၊ နှင့် CVE-2011-2894 in spring-context:3.0.5 နှင့် spring-core:3.0.5။ အစပိုင်းတွင်၊ CVE အများအပြားတွင် အားနည်းချက်တစ်ခု ထပ်တူရှိနေပုံပေါ်သည်။ အဘယ်ကြောင့်ဆိုသော်၊ သင်သည် NVD ဒေတာဘေ့စ်ရှိ CVE-2016-1000027 နှင့် CVE-2011-2894 ကိုကြည့်လျှင် အရာအားလုံးသည် သိသာထင်ရှားနေပုံရသည်။

အစိတ်အပိုင်း
အားနည်းချက်

spring-web-3.0.5
CVE-2016-1000027

Spring-context-3.0.5
CVE-2011-2894

spring-core-3.0.5
CVE-2011-2894

ဖေါ်ပြချက် CVE-2011-2894 NVD မှ


ဖေါ်ပြချက် CVE-2016-1000027 NVD မှ


CVE-2011-2894 ကိုယ်တိုင်က တော်တော်နာမည်ကြီးတယ်။ အစီရင်ခံစာထဲမှာ White Source 2011 ဤ CVE ကို အသုံးအများဆုံးထဲမှ တစ်ခုအဖြစ် အသိအမှတ်ပြုခဲ့သည်။ အခြေခံအားဖြင့် CVE-2016-100027 အတွက် ဖော်ပြချက်များသည် NVD တွင် အနည်းငယ်သာရှိပြီး Spring Framework 4.1.4 အတွက်သာ သက်ဆိုင်ပုံရသည်။ လေ့လာကြည့်ကြရအောင် အညွှန်း ဤတွင် အရာအားလုံးသည် အနည်းနှင့်အများ ပိုမိုရှင်းလင်းလာသည်။ ထံမှ ခိုင်လုံသော ဆောင်းပါးများ အားနည်းချက် အပြင်၌လည်း နားလည်ပါသည်။ RemoteInvocationSerializingExporter CVE-2011-2894 တွင် အားနည်းချက်ကို စောင့်ကြည့်လေ့လာပါသည်။ HttpInvokerServiceExporter. ဤသည်မှာ Nexus IQ က ကျွန်ုပ်တို့ကို ပြောပြသည်-

သို့သော်၊ NVD တွင် ဤကဲ့သို့ တစ်စုံတစ်ခုမျှ မရှိပါ။ ထို့ကြောင့် မှီခိုအားထားမှု စစ်ဆေးခြင်းနှင့် မှီခိုမှုလမ်းကြောင်းတစ်ခုစီသည် မှားယွင်းသော အနုတ်လက္ခဏာကို ရရှိစေသည်။

CVE-2011-2894 ၏ဖော်ပြချက်မှလည်း အားနည်းချက်သည် spring-context-3.0.5 နှင့် spring-core:3.0.5 နှစ်မျိုးလုံးတွင် အမှန်တကယ်ရှိနေကြောင်း နားလည်နိုင်ပါသည်။ ဤအားနည်းချက်ကို တွေ့ရှိသူထံမှ ဆောင်းပါးတစ်ပုဒ်တွင် ဤအရာကို အတည်ပြုချက်ကို တွေ့ရှိနိုင်သည်။

№2

အစိတ်အပိုင်း
အားနည်းချက်
ရလဒ်

struts2-core-2.3.30
CVE-2016-4003
အတုအယောငျ

အားနည်းချက် CVE-2016-4003 ကို လေ့လာပါက ၎င်းကို ဗားရှင်း 2.3.28 တွင် ပြုပြင်ထားကြောင်း ကျွန်ုပ်တို့ နားလည်နိုင်သော်လည်း Nexus IQ က ၎င်းကို ကျွန်ုပ်တို့ထံ တင်ပြပါသည်။ အားနည်းချက်ဖော်ပြချက်တွင် မှတ်စုတစ်ခုပါရှိသည်-

ဆိုလိုသည်မှာ၊ ၎င်းတို့သည် ကျွန်ုပ်တို့အား သတိပေးရန် ဆုံးဖြတ်ထားသည့် JRE ၏ ခေတ်မမီသောဗားရှင်းနှင့်သာ အားနည်းချက်ရှိနေပါသည်။ မည်သို့ပင်ဆိုစေကာမူ၊ အဆိုးဆုံးမဟုတ်သော်လည်း၊ ဤ False Positive ကို ကျွန်ုပ်တို့ယူဆပါသည်။

အမှတ် ၁၁၁

အစိတ်အပိုင်း
အားနည်းချက်
ရလဒ်

xwork-core-2.3.30
CVE-2017-9804
TRUE

xwork-core-2.3.30
CVE-2017-7672
အတုအယောငျ

CVE-2017-9804 နှင့် CVE-2017-7672 ၏ဖော်ပြချက်များကိုကြည့်လျှင်၊ ပြဿနာဖြစ်သည်ကိုကျွန်ုပ်တို့နားလည်မည်ဖြစ်ပါသည်။ URLValidator classCVE-2017-9804 ဖြင့် CVE-2017-7672 မှ အရင်းအနှီး။ ဒုတိယ အားနည်းချက်ရှိနေခြင်းသည် ၎င်း၏ပြင်းထန်မှု အမြင့်ဆုံးအထိ တိုးလာသောကြောင့် မလိုအပ်သော ဆူညံသံမှလွဲ၍ အခြားအသုံးဝင်သောဝန်ကို မသယ်ဆောင်နိုင်ပါ။

ယေဘူယျအားဖြင့် Nexus IQ အတွက် အခြားသော မှားယွင်းသော အပြုသဘောများကို ရှာမတွေ့ပါ။

№4

IQ ကို အခြားဖြေရှင်းနည်းများထက် ထူးထူးခြားခြားဖြစ်စေသော အရာများစွာရှိသည်။

အစိတ်အပိုင်း
အားနည်းချက်
ရလဒ်

spring-web-3.0.5
CVE-2020-5398
TRUE

NVD ရှိ CVE သည် 5.2 မတိုင်မီ 5.2.3.x ၊ 5.1 မတိုင်မီ 5.1.13.x နှင့် 5.0 မတိုင်မီ 5.0.16.x နှင့် XNUMX မတိုင်မီ XNUMX.x ဗားရှင်းများနှင့်သာ သက်ဆိုင်ကြောင်းဖော်ပြထားသည်၊ သို့သော်၊ ကျွန်ုပ်တို့သည် Nexus IQ ရှိ CVE ဖော်ပြချက်ကိုကြည့်လျှင် ထို့နောက် အောက်ပါတို့ကို တွေ့ရပါမည်။
အကြံပေးသွေဖည်မှုသတိပေးချက်- Sonatype လုံခြုံရေးသုတေသနအဖွဲ့မှ ဤအားနည်းချက်ကို ဗားရှင်း 3.0.2.RELEASE တွင် မိတ်ဆက်ခဲ့ပြီး 5.0.x မဟုတ်ဘဲ အကြံပေးချက်တွင်ဖော်ပြထားသည့်အတိုင်းမဟုတ်ကြောင်း တွေ့ရှိခဲ့သည်။

၎င်းသည် ဗားရှင်း 3.0.5 တွင် ရှိနေကြောင်း ဖော်ပြထားသည့် ဤအားနည်းချက်အတွက် PoC ဖြင့် လိုက်နာသည်။

မှားယွင်းသောအနုတ်ကို မှီခိုမှုစစ်ဆေးခြင်းနှင့် မှီခိုမှုလမ်းကြောင်းသို့ ပေးပို့သည်။

№5

Dependency Check and Dependency Track အတွက် false positive ကို ကြည့်ကြပါစို့။

Dependency Check သည် NVD ရှိ မူဘောင်တစ်ခုလုံးနှင့် သက်ဆိုင်သည့် CVE များကို ဤ CVE များ မသက်ဆိုင်သည့် အစိတ်အပိုင်းများသို့ ရောင်ပြန်ဟပ်ခြင်းမှာ ထင်ရှားသည်။ ၎င်းသည် CVE-2012-0394၊ CVE-2013-2115၊ CVE-2014-0114၊ CVE-2015-0899၊ CVE-2015-2992၊ CVE-2016-1181၊ CVE-2016-1182 တို့ကို မှီခိုနေရသော စစ်ဆေးမှုများနှင့် သက်ဆိုင်ပါသည်။ ” to struts-taglib:1.3.8 နှင့် struts-tiles-1.3.8။ ဤအစိတ်အပိုင်းများသည် CVE တွင်ဖော်ပြထားသည့်အရာများနှင့် မသက်ဆိုင်ပါ - တောင်းဆိုမှုလုပ်ဆောင်ခြင်း၊ စာမျက်နှာအတည်ပြုခြင်းစသည်ဖြင့် သက်ဆိုင်ပါသည်။ ဤ CVE များ နှင့် အစိတ်အပိုင်းများ တူညီသည့်အချက်မှာ မူဘောင်များသာဖြစ်သည် ၊ ထို့ကြောင့် Dependency Check သည် ၎င်းကို အားနည်းချက်ဟု ယူဆသောကြောင့်ဖြစ်သည်။

အလားတူအခြေအနေသည် spring-tx:3.0.5 နှင့် struts-core:1.3.8 နှင့် အလားတူအခြေအနေဖြစ်သည်။ struts-core အတွက်၊ မှီခိုမှုစစ်ဆေးခြင်းနှင့် မှီခိုမှုလမ်းကြောင်းသည် struts2-core နှင့် အမှန်တကယ်သက်ဆိုင်သည့် အားနည်းချက်များစွာကို တွေ့ရှိထားပြီး၊ အခြေခံအားဖြင့် သီးခြားမူဘောင်တစ်ခုဖြစ်သည့် struts2-core နှင့် အမှန်တကယ်သက်ဆိုင်သည်။ ဤကိစ္စတွင်၊ Nexus IQ သည် ရုပ်ပုံအား မှန်ကန်စွာ နားလည်ပြီး ၎င်းထုတ်ပေးသည့် CVE များတွင် struts-core သည် ဘဝ၏အဆုံးသို့ရောက်ရှိပြီး strutsXNUMX-core သို့ပြောင်းရန် လိုအပ်ကြောင်း ညွှန်ပြပါသည်။

№6

အချို့သောအခြေအနေများတွင်၊ သိသာထင်ရှားသော မှီခိုမှုစစ်ဆေးခြင်းနှင့် မှီခိုမှုလမ်းကြောင်းအမှားကို အဓိပ္ပာယ်ဖွင့်ဆိုခြင်းသည် တရားမျှတမှုမရှိပါ။ အထူးသဖြင့် CVE-2013-4152၊ CVE-2013-6429၊ CVE-2013-6430၊ CVE-2013-7315၊ CVE-2014-0054၊ CVE-2014-0225၊ CVE-2014-0225၊ မှီခိုမှုနှင့် မှီခိုမှုလမ်းကြောင်း spring-core:3.0.5 လို့သတ်မှတ်ထားတဲ့ spring-web:3.0.5 နဲ့သက်ဆိုင်ပါတယ်။ တစ်ချိန်တည်းမှာပင်၊ ဤ CVEs အချို့ကို Nexus IQ မှလည်း တွေ့ရှိခဲ့သော်လည်း IQ သည် ၎င်းတို့အား အခြားအစိတ်အပိုင်းတစ်ခုသို့ မှန်ကန်စွာ ဖော်ထုတ်ခဲ့သည်။ ဤအားနည်းချက်များကို spring-core တွင်မတွေ့သောကြောင့်၊ ၎င်းတို့သည် မူအရမူဘောင်တွင်မပါဝင်ကြောင်းနှင့် open source tools များသည် အဆိုပါအားနည်းချက်များကိုမှန်ကန်စွာညွှန်ပြခဲ့သည် (၎င်းတို့သည်အနည်းငယ်လွဲချော်ခဲ့သည်)။

တွေ့ရှိချက်များ

ကျွန်ုပ်တို့မြင်နိုင်သည်အတိုင်း၊ လက်စွဲသုံးသပ်ခြင်းဖြင့် ခွဲခြားသတ်မှတ်ထားသော အားနည်းချက်များ၏ ယုံကြည်စိတ်ချရမှုကို အဆုံးအဖြတ်ပေးခြင်းသည် မရှင်းလင်းသောရလဒ်များကို မပေးသည့်အတွက်ကြောင့် အငြင်းပွားဖွယ်ရာပြဿနာများ ဖြစ်ပေါ်လာပါသည်။ ရလဒ်များမှာ Nexus IQ ဖြေရှင်းချက်တွင် အနိမ့်ဆုံး မှားယွင်းသော အပြုသဘောနှုန်းနှင့် အမြင့်ဆုံး တိကျမှုတို့ ပါဝင်သည်။

ပထမဦးစွာ၊ ၎င်းမှာ Sonatype အဖွဲ့သည် ၎င်း၏ဒေတာဘေ့စ်များတွင် NVD မှ CVE အားနည်းချက်တစ်ခုစီအတွက် ဖော်ပြချက်အား တိုးချဲ့ခဲ့ပြီး အစိတ်အပိုင်းများ၏ သီးခြားဗားရှင်းအတွက် အားနည်းချက်များကို အတန်း သို့မဟုတ် လုပ်ဆောင်မှုအထိ ညွှန်ပြသောကြောင့်၊ အပိုသုတေသနပြုလုပ်ခြင်း (ဥပမာ၊ ဆော့ဖ်ဝဲဗားရှင်းအဟောင်းများတွင် အားနည်းချက်များကို စစ်ဆေးခြင်း)။

ရလဒ်များအပေါ် အရေးပါသော သြဇာလွှမ်းမိုးမှုကို NVD တွင်မပါဝင်သည့် အဆိုပါ အားနည်းချက်များမှလည်း ကစားပေးသော်လည်း SONATYPE အမှတ်အသားပါရှိသော Sonatype ဒေတာဘေ့စ်တွင် ရှိနေပါသည်။ အစီရင်ခံစာအရ သိရသည်။ Open Source Security Vulnerabilities 2020 ၏အခြေအနေ ရှာဖွေတွေ့ရှိထားသော open source အားနည်းချက်များ၏ 45% ကို NVD သို့ သတင်းမပို့ပါ။ WhiteSource ဒေတာဘေ့စ်အရ NVD ပြင်ပတွင် ဖော်ပြထားသော open source အားနည်းချက်အားလုံး၏ 29% သည် ထိုနေရာတွင် လွှင့်တင်သွားသည်ဖြစ်သောကြောင့် အခြားရင်းမြစ်များတွင်လည်း အားနည်းချက်များကို ရှာဖွေရန် အရေးကြီးပါသည်။

ရလဒ်အနေဖြင့် Dependency Check သည် ဆူညံသံများစွာကို ထုတ်လွှတ်ပြီး အားနည်းချက်ရှိသော အစိတ်အပိုင်းအချို့ကို ပျောက်ဆုံးစေသည်။ Dependency Track သည် ဆူညံသံကို နည်းပါးစေပြီး ဝဘ်အင်တာဖေ့စ်တွင် မျက်စိကို အမြင်အာရုံ မထိခိုက်စေသည့် အစိတ်အပိုင်းအများအပြားကို ထောက်လှမ်းသည်။

သို့သော်၊ ပွင့်လင်းသောအရင်းအမြစ်သည် ရင့်ကျက်သော DevSecOps အတွက် ပထမဆုံးခြေလှမ်းဖြစ်လာသင့်ကြောင်း လက်တွေ့ပြသသည်။ SCA ကို ဖွံ့ဖြိုးတိုးတက်မှုတွင် ပေါင်းစည်းရာတွင် ပထမဆုံးစဉ်းစားသင့်သည်မှာ လုပ်ငန်းစဉ်များဖြစ်သည်၊ ပြောရရင်၊ သင့်အဖွဲ့အစည်းမှာ ဘယ်လိုစံပြလုပ်ငန်းစဉ်တွေဖြစ်သင့်သလဲဆိုတာကို စီမံခန့်ခွဲမှုနဲ့ ဆက်စပ်ဌာနတွေနဲ့ လက်တွဲစဉ်းစားပါ။ သင့်အဖွဲ့အစည်းအတွက်၊ အစပိုင်းတွင် မှီခိုမှုစစ်ဆေးခြင်း သို့မဟုတ် မှီခိုမှုလမ်းကြောင်းသည် လုပ်ငန်းလိုအပ်ချက်အားလုံးကို အကျုံးဝင်မည်ဖြစ်ပြီး၊ လုပ်ငန်းဆိုင်ရာဖြေရှင်းချက်များသည် ဖွံ့ဖြိုးလာနေသော အပလီကေးရှင်းများ၏ ရှုပ်ထွေးများပြားလာခြင်းကြောင့် ယုတ္တိနည်းကျကျ ဆက်လက်လုပ်ဆောင်သွားမည်ဖြစ်သည်။

နောက်ဆက်တွဲ A- အစိတ်အပိုင်းရလဒ်များ
ဒဏ္ဍာရီ:

• အစိတ်အပိုင်းရှိ မြင့်မားသောနှင့် အရေးကြီးသောအဆင့် အားနည်းချက်များ
• အလယ်အလတ် — အစိတ်အပိုင်းရှိ အလယ်အလတ်ဝေဖန်ရေးအဆင့်၏ အားနည်းချက်များ
• TRUE — စစ်မှန်သော အပြုသဘောဆောင်သော ပြဿနာ
• FALSE - မှားယွင်းသော အပြုသဘောဆောင်သော ပြဿနာ

အစိတ်အပိုင်း
Nexus IQ
မှီခိုမှုစစ်ဆေးခြင်း။
မှီခိုမှုလမ်းကြောင်း
ရလဒ်

dom4j: 1.6.1
မြင့်သော
မြင့်သော
မြင့်သော
TRUE

log4j-core- 2.3
မြင့်သော
မြင့်သော
မြင့်သော
TRUE

log4j: 1.2.14
မြင့်သော
မြင့်သော
-
TRUE

ဘုံစုစည်းမှု-၃.၁
မြင့်သော
မြင့်သော
မြင့်သော
TRUE

commons-fileupload-1.3.2
မြင့်သော
မြင့်သော
မြင့်သော
TRUE

commons-beanutils-၁.၇.၀
မြင့်သော
မြင့်သော
မြင့်သော
TRUE

commons-codec:1:10
အလယ်အလတ်
-
-
TRUE

mysql-connector-java:5.1.42
မြင့်သော
မြင့်သော
မြင့်သော
TRUE

spring-expression-3.0.5
မြင့်သော
အစိတ်အပိုင်းကို ရှာမတွေ့ပါ။

TRUE

spring-web-3.0.5
မြင့်သော
အစိတ်အပိုင်းကို ရှာမတွေ့ပါ။
မြင့်သော
TRUE

Spring-context-3.0.5
အလယ်အလတ်
အစိတ်အပိုင်းကို ရှာမတွေ့ပါ။
-
TRUE

spring-core-3.0.5
အလယ်အလတ်
မြင့်သော
မြင့်သော
TRUE

struts2-config-browser-plugin-2.3.30
အလယ်အလတ်
-
-
TRUE

spring-tx:3.0.5
-
မြင့်သော
-
အတုအယောငျ

Struts-core:1.3.8
မြင့်သော
မြင့်သော
မြင့်သော
TRUE

xwork-core- 2.3.30
မြင့်သော
-
-
TRUE

struts2-core- 2.3.30
မြင့်သော
မြင့်သော
မြင့်သော
TRUE

struts-taglib-၁.၃.၈
-
မြင့်သော
-
အတုအယောငျ

struts-tiles-1.3.8
-
မြင့်သော
-
အတုအယောငျ

နောက်ဆက်တွဲ B- အားနည်းချက်ရလဒ်များ
ဒဏ္ဍာရီ:

• အစိတ်အပိုင်းရှိ မြင့်မားသောနှင့် အရေးကြီးသောအဆင့် အားနည်းချက်များ
• အလယ်အလတ် — အစိတ်အပိုင်းရှိ အလယ်အလတ်ဝေဖန်ရေးအဆင့်၏ အားနည်းချက်များ
• TRUE — စစ်မှန်သော အပြုသဘောဆောင်သော ပြဿနာ
• FALSE - မှားယွင်းသော အပြုသဘောဆောင်သော ပြဿနာ

အစိတ်အပိုင်း
Nexus IQ
မှီခိုမှုစစ်ဆေးခြင်း။
မှီခိုမှုလမ်းကြောင်း
ပြင်းထန်မှု
ရလဒ်
မှတ်ချက်

dom4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
မြင့်သော
TRUE

CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
မြင့်သော
TRUE

log4j-core- 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
မြင့်သော
TRUE

CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
အနိမ့်
TRUE

log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
မြင့်သော
TRUE

-
CVE-2020-9488
-
အနိမ့်
TRUE

SONATYPE-2010-0053
-
-
မြင့်သော
TRUE

ဘုံစုစည်းမှု-၃.၁
-
CVE-2015-6420
CVE-2015-6420
မြင့်သော
အတုအယောငျ
RCE(OSSINDEX) ထပ်နေသည်

-
CVE-2017-15708
CVE-2017-15708
မြင့်သော
အတုအယောငျ
RCE(OSSINDEX) ထပ်နေသည်

SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
မြင့်သော
TRUE

commons-fileupload-1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
မြင့်သော
TRUE

SONATYPE-2014-0173
-
-
အလယ်အလတ်
TRUE

commons-beanutils-၁.၇.၀
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
မြင့်သော
TRUE

-
CVE-2019-10086
CVE-2019-10086
မြင့်သော
အတုအယောငျ
အားနည်းချက်သည် ဗားရှင်း 1.9.2+ နှင့်သာ သက်ဆိုင်ပါသည်။

commons-codec:1:10
SONATYPE-2012-0050
-
-
အလယ်အလတ်
TRUE

mysql-connector-java:5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
မြင့်သော
TRUE

CVE-2019-2692
CVE-2019-2692
-
အလယ်အလတ်
TRUE

-
CVE-2020-2875
-
အလယ်အလတ်
အတုအယောငျ
CVE-2019-2692 ကဲ့သို့ တူညီသောအားနည်းချက်၊ သို့သော် "တိုက်ခိုက်မှုများသည် နောက်ထပ်ထုတ်ကုန်များကို သိသိသာသာသက်ရောက်မှုရှိနိုင်သည်" ကိုသတိပြုပါ

-
CVE-2017-15945
-
မြင့်သော
အတုအယောငျ
mysql-connector-java နှင့် မသက်ဆိုင်ပါ။

-
CVE-2020-2933
-
အနိမ့်
အတုအယောငျ
CVE-2020-2934 ၏ မိတ္တူ

CVE-2020-2934
CVE-2020-2934
-
အလယ်အလတ်
TRUE

spring-expression-3.0.5
CVE-2018-1270
အစိတ်အပိုင်းကို ရှာမတွေ့ပါ။
-
မြင့်သော
TRUE

CVE-2018-1257
-
-
အလယ်အလတ်
TRUE

spring-web-3.0.5
CVE-2016-1000027
အစိတ်အပိုင်းကို ရှာမတွေ့ပါ။
-
မြင့်သော
TRUE

CVE-2014-0225
-
CVE-2014-0225
မြင့်သော
TRUE

CVE-2011-2730
-
-
မြင့်သော
TRUE

-
-
CVE-2013-4152
အလယ်အလတ်
TRUE

CVE-2018-1272
-
-
မြင့်သော
TRUE

CVE-2020-5398
-
-
မြင့်သော
TRUE
IQ ကို ထောက်ခံသည့် သရုပ်ဖော်ပုံ ဥပမာ- "Sonatype လုံခြုံရေး သုတေသနအဖွဲ့သည် ဤအားနည်းချက်ကို ဗားရှင်း 3.0.2 တွင် စတင်တွေ့ရှိခဲ့သည်။ အကြံပြုချက်တွင် ဖော်ပြထားသည့်အတိုင်း 5.0.x မဟုတ်ဘဲ RELEASE မဟုတ်ပါ။"

CVE-2013-6429
-
-
အလယ်အလတ်
TRUE

CVE-2014-0054
-
CVE-2014-0054
အလယ်အလတ်
TRUE

CVE-2013-6430
-
-
အလယ်အလတ်
TRUE

Spring-context-3.0.5
CVE-2011-2894
အစိတ်အပိုင်းကို ရှာမတွေ့ပါ။
-
အလယ်အလတ်
TRUE

spring-core-3.0.5
-
CVE-2011-2730
CVE-2011-2730
မြင့်သော
TRUE

CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
အလယ်အလတ်
TRUE

-
-
CVE-2013-4152
အလယ်အလတ်
အတုအယောငျ
spring-web တွင် တူညီသောအားနည်းချက်ကို မိတ္တူပွားပါ။

-
CVE-2013-4152
-
အလယ်အလတ်
အတုအယောငျ
အားနည်းချက်သည် spring-web အစိတ်အပိုင်းနှင့် ဆက်စပ်နေသည်။

-
CVE-2013-6429
CVE-2013-6429
အလယ်အလတ်
အတုအယောငျ
အားနည်းချက်သည် spring-web အစိတ်အပိုင်းနှင့် ဆက်စပ်နေသည်။

-
CVE-2013-6430
-
အလယ်အလတ်
အတုအယောငျ
အားနည်းချက်သည် spring-web အစိတ်အပိုင်းနှင့် ဆက်စပ်နေသည်။

-
CVE-2013-7315
CVE-2013-7315
အလယ်အလတ်
အတုအယောငျ
CVE-2013-4152 မှ ခွဲထွက်ခြင်း။ + အားနည်းချက်သည် spring-web အစိတ်အပိုင်းနှင့် သက်ဆိုင်သည်။

-
CVE-2014-0054
CVE-2014-0054
အလယ်အလတ်
အတုအယောငျ
အားနည်းချက်သည် spring-web အစိတ်အပိုင်းနှင့် ဆက်စပ်နေသည်။

-
CVE-2014-0225
-
မြင့်သော
အတုအယောငျ
အားနည်းချက်သည် spring-web အစိတ်အပိုင်းနှင့် ဆက်စပ်နေသည်။

-
-
CVE-2014-0225
မြင့်သော
အတုအယောငျ
spring-web တွင် တူညီသောအားနည်းချက်ကို မိတ္တူပွားပါ။

-
CVE-2014-1904
CVE-2014-1904
အလယ်အလတ်
အတုအယောငျ
အားနည်းချက်သည် spring-web-mvc အစိတ်အပိုင်းနှင့် ဆက်စပ်နေသည်။

-
CVE-2014-3625
CVE-2014-3625
အလယ်အလတ်
အတုအယောငျ
အားနည်းချက်သည် spring-web-mvc အစိတ်အပိုင်းနှင့် ဆက်စပ်နေသည်။

-
CVE-2016-9878
CVE-2016-9878
မြင့်သော
အတုအယောငျ
အားနည်းချက်သည် spring-web-mvc အစိတ်အပိုင်းနှင့် ဆက်စပ်နေသည်။

-
CVE-2018-1270
CVE-2018-1270
မြင့်သော
အတုအယောငျ
spring-expression/spring-messages အတွက်

-
CVE-2018-1271
CVE-2018-1271
အလယ်အလတ်
အတုအယောငျ
အားနည်းချက်သည် spring-web-mvc အစိတ်အပိုင်းနှင့် ဆက်စပ်နေသည်။

-
CVE-2018-1272
CVE-2018-1272
မြင့်သော
TRUE

CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
အလယ်အလတ်
TRUE

SONATYPE-2015-0327
-
-
အနိမ့်
TRUE

struts2-config-browser-plugin-2.3.30
SONATYPE-2016-0104
-
-
အလယ်အလတ်
TRUE

spring-tx:3.0.5
-
CVE-2011-2730
-
မြင့်သော
အတုအယောငျ
အားနည်းချက်သည် spring-tx အတွက် သီးခြားမဟုတ်ပါ။

-
CVE-2011-2894
-
မြင့်သော
အတုအယောငျ
အားနည်းချက်သည် spring-tx အတွက် သီးခြားမဟုတ်ပါ။

-
CVE-2013-4152
-
အလယ်အလတ်
အတုအယောငျ
အားနည်းချက်သည် spring-tx အတွက် သီးခြားမဟုတ်ပါ။

-
CVE-2013-6429
-
အလယ်အလတ်
အတုအယောငျ
အားနည်းချက်သည် spring-tx အတွက် သီးခြားမဟုတ်ပါ။

-
CVE-2013-6430
-
အလယ်အလတ်
အတုအယောငျ
အားနည်းချက်သည် spring-tx အတွက် သီးခြားမဟုတ်ပါ။

-
CVE-2013-7315
-
အလယ်အလတ်
အတုအယောငျ
အားနည်းချက်သည် spring-tx အတွက် သီးခြားမဟုတ်ပါ။

-
CVE-2014-0054
-
အလယ်အလတ်
အတုအယောငျ
အားနည်းချက်သည် spring-tx အတွက် သီးခြားမဟုတ်ပါ။

-
CVE-2014-0225
-
မြင့်သော
အတုအယောငျ
အားနည်းချက်သည် spring-tx အတွက် သီးခြားမဟုတ်ပါ။

-
CVE-2014-1904
-
အလယ်အလတ်
အတုအယောငျ
အားနည်းချက်သည် spring-tx အတွက် သီးခြားမဟုတ်ပါ။

-
CVE-2014-3625
-
အလယ်အလတ်
အတုအယောငျ
အားနည်းချက်သည် spring-tx အတွက် သီးခြားမဟုတ်ပါ။

-
CVE-2016-9878
-
မြင့်သော
အတုအယောငျ
အားနည်းချက်သည် spring-tx အတွက် သီးခြားမဟုတ်ပါ။

-
CVE-2018-1270
-
မြင့်သော
အတုအယောငျ
အားနည်းချက်သည် spring-tx အတွက် သီးခြားမဟုတ်ပါ။

-
CVE-2018-1271
-
အလယ်အလတ်
အတုအယောငျ
အားနည်းချက်သည် spring-tx အတွက် သီးခြားမဟုတ်ပါ။

-
CVE-2018-1272
-
အလယ်အလတ်
အတုအယောငျ
အားနည်းချက်သည် spring-tx အတွက် သီးခြားမဟုတ်ပါ။

Struts-core:1.3.8
-
CVE-2011-5057 (OSSINDEX)

အလယ်အလတ်
အမြန်
Struts များအတွက် အားနည်းချက် ၂

-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
မြင့်သော
အတုအယောငျ
Struts များအတွက် အားနည်းချက် ၂

-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
အလယ်အလတ်
အတုအယောငျ
Struts များအတွက် အားနည်းချက် ၂

-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
မြင့်သော
အတုအယောငျ
Struts များအတွက် အားနည်းချက် ၂

CVE-2016-1182
3VE-2016-1182
-
မြင့်သော
TRUE

-
-
CVE-2011-5057
အလယ်အလတ်
အတုအယောငျ
Struts များအတွက် အားနည်းချက် ၂

-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
မြင့်သော
အတုအယောငျ
Struts များအတွက် အားနည်းချက် ၂

-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
အလယ်အလတ်
အတုအယောငျ
Struts များအတွက် အားနည်းချက် ၂

CVE-2015-0899
CVE-2015-0899
-
မြင့်သော
TRUE

-
CVE-2012-0394
CVE-2012-0394
အလယ်အလတ်
အတုအယောငျ
Struts များအတွက် အားနည်းချက် ၂

-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
မြင့်သော
အတုအယောငျ
Struts များအတွက် အားနည်းချက် ၂

-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
မြင့်သော
အတုအယောငျ
Struts များအတွက် အားနည်းချက် ၂

-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
မြင့်သော
အမြန်
Struts များအတွက် အားနည်းချက် ၂

-
CVE-2013-2115
CVE-2013-2115
မြင့်သော
အမြန်
Struts များအတွက် အားနည်းချက် ၂

-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
မြင့်သော
အမြန်
Struts များအတွက် အားနည်းချက် ၂

-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
မြင့်သော
အမြန်
Struts များအတွက် အားနည်းချက် ၂

CVE-2014-0114
CVE-2014-0114
-
မြင့်သော
TRUE

-
CVE-2015-2992
CVE-2015-2992
အလယ်အလတ်
အတုအယောငျ
Struts များအတွက် အားနည်းချက် ၂

-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
မြင့်သော
အတုအယောငျ
Struts များအတွက် အားနည်းချက် ၂

CVE-2016-1181
CVE-2016-1181
-
မြင့်သော
TRUE

-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
မြင့်သော
အတုအယောငျ
Struts များအတွက် အားနည်းချက် ၂

xwork-core-2.3.30
CVE-2017-9804
-
-
မြင့်သော
TRUE

SONATYPE-2017-0173
-
-
မြင့်သော
TRUE

CVE-2017-7672
-
-
မြင့်သော
အတုအယောငျ
CVE-2017-9804 ၏ မိတ္တူ

SONATYPE-2016-0127
-
-
မြင့်သော
TRUE

struts2-core-2.3.30
-
CVE-2016-6795
CVE-2016-6795
မြင့်သော
TRUE

-
CVE-2017-9787
CVE-2017-9787
မြင့်သော
TRUE

-
CVE-2017-9791
CVE-2017-9791
မြင့်သော
TRUE

-
CVE-2017-9793
-
မြင့်သော
အတုအယောငျ
CVE-2018-1327 ၏ မိတ္တူ

-
CVE-2017-9804
-
မြင့်သော
TRUE

-
CVE-2017-9805
CVE-2017-9805
မြင့်သော
TRUE

CVE-2016-4003
-
-
အလယ်အလတ်
အတုအယောငျ
ဗားရှင်း 2 ဖြစ်သည့် Apache Struts 2.3.28.x မှ 2.3.30 အထိ အသုံးပြုနိုင်သည်။ သို့သော် ဖော်ပြချက်အပေါ် အခြေခံ၍ JRE 2 သို့မဟုတ် ဤနည်းကို အသုံးပြုပါက Struts 1.7 ၏ မည်သည့်ဗားရှင်းအတွက်မဆို အကျုံးဝင်ပါသည်။ ဤနေရာတွင် ကျွန်ုပ်တို့ကို ပြန်လည်အာမခံပေးရန် ဆုံးဖြတ်ခဲ့ကြသည်မှာ ထင်ရှားသော်လည်း ၎င်းသည် FALSE နှင့် ပိုတူပါသည်။

-
CVE-2018-1327
CVE-2018-1327
မြင့်သော
TRUE

CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
မြင့်သော
TRUE
2017 ခုနှစ်တွင် Equifax ဟက်ကာများက အသုံးချခဲ့သည့် အလားတူအားနည်းချက်

CVE-2017-12611
CVE-2017-12611
-
မြင့်သော
TRUE

CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
မြင့်သော
TRUE

struts-taglib-၁.၃.၈
-
CVE-2012-0394
-
အလယ်အလတ်
အတုအယောငျ
Struts2-core အတွက်

-
CVE-2013-2115
-
မြင့်သော
အတုအယောငျ
Struts2-core အတွက်

-
CVE-2014-0114
-
မြင့်သော
အတုအယောငျ
သာမာန် ပဲများအတွက်

-
CVE-2015-0899
-
မြင့်သော
အတုအယောငျ
taglib နှင့်မသက်ဆိုင်ပါ။

-
CVE-2015-2992
-
အလယ်အလတ်
အတုအယောငျ
Struts2-core ကိုရည်ညွှန်းသည်။

-
CVE-2016-1181
-
မြင့်သော
အတုအယောငျ
taglib နှင့်မသက်ဆိုင်ပါ။

-
CVE-2016-1182
-
မြင့်သော
အတုအယောငျ
taglib နှင့်မသက်ဆိုင်ပါ။

struts-tiles-1.3.8
-
CVE-2012-0394
-
အလယ်အလတ်
အတုအယောငျ
Struts2-core အတွက်

-
CVE-2013-2115
-
မြင့်သော
အတုအယောငျ
Struts2-core အတွက်

-
CVE-2014-0114
-
မြင့်သော
အတုအယောငျ
အောက်မှာ commons-beanutils

-
CVE-2015-0899
-
မြင့်သော
အတုအယောငျ
အကွက်များနှင့် မသက်ဆိုင်ပါ။

-
CVE-2015-2992
-
အလယ်အလတ်
အတုအယောငျ
Struts2-core အတွက်

-
CVE-2016-1181
-
မြင့်သော
အတုအယောငျ
taglib နှင့်မသက်ဆိုင်ပါ။

-
CVE-2016-1182
-
မြင့်သော
အတုအယောငျ
taglib နှင့်မသက်ဆိုင်ပါ။

source: www.habr.com