GitlabCI တွင် အသုံးပြုထားသော ဒစ်ဂျစ်တယ်မှီခိုမှု-စစ်ဆေးခြင်းအတွက် အားနည်းချက်စကင်နာကို အသုံးပြုခြင်း။

အားနည်းချက် စီမံခန့်ခွဲမှု၏ အရေးကြီးသော အစိတ်အပိုင်းမှာ ခေတ်မီစနစ်များ ဖန်တီးထားသည့် ဆော့ဖ်ဝဲလ် အစိတ်အပိုင်းများ ၏ ထောက်ပံ့ရေးကွင်းဆက်ကို စေ့စေ့စပ်စပ် နားလည်ပြီး လုံခြုံစေရန် ဖြစ်သည်။ Agile နှင့် DevOps အဖွဲ့များသည် ဖွံ့ဖြိုးတိုးတက်မှုအချိန်နှင့် ကုန်ကျစရိတ်ကို လျှော့ချရန်အတွက် open source စာကြည့်တိုက်များနှင့် မူဘောင်များကို ကျယ်ကျယ်ပြန့်ပြန့် အသုံးပြုကြသည်။ ဒါပေမယ့် ဒီဆုတံဆိပ်မှာလည်း အားနည်းချက်ရှိပါတယ်- အခြားသူတွေရဲ့ အမှားတွေနဲ့ အားနည်းချက်တွေကို အမွေဆက်ခံဖို့ အခွင့်အရေးရှိပါတယ်။

သေချာသည်မှာ၊ အဖွဲ့သည် ၎င်း၏အပလီကေးရှင်းများတွင် မည်သည့် open source အစိတ်အပိုင်းများပါ၀င်သည်ကို သေချာသိထားသင့်ပြီး ယုံကြည်စိတ်ချရသော ဗားရှင်းများကို သိရှိပြီး ယုံကြည်စိတ်ချရသော အရင်းအမြစ်များမှ ဒေါင်းလုဒ်လုပ်ကာ အသစ်တွေ့ရှိထားသည့် အားနည်းချက်များကို ဖာထေးပြီးနောက် အစိတ်အပိုင်းများ၏ မွမ်းမံထားသောဗားရှင်းများကို ဒေါင်းလုဒ်လုပ်ရန် သေချာစေသင့်သည်။

ဤပို့စ်တွင်၊ သင့်ကုဒ်နှင့်ပတ်သက်သော ဆိုးရွားသောပြဿနာများကို တွေ့ရှိပါက တည်ဆောက်မှုတစ်ခုဖျက်ပစ်ရန် OWASP မှီခိုစစ်ဆေးခြင်းကို အသုံးပြု၍ ကြည့်ရှုပါမည်။

“ဖွံ့ဖြိုးတိုးတက်မှုလုံခြုံရေးအတွက် သွက်လက်သောပရောဂျက်များ” စာအုပ်တွင် အောက်ပါအတိုင်းဖော်ပြထားသည်။ OWASP Dependency Check သည် အပလီကေးရှင်းတစ်ခုတွင် အသုံးပြုထားသော open source အစိတ်အပိုင်းများအားလုံးကို ကက်တလောက်စာရင်းပြုစုပြီး ၎င်းတို့တွင်ရှိသော အားနည်းချက်များကိုပြသသည့် အခမဲ့စကင်နာတစ်ခုဖြစ်သည်။ Java၊ .NET၊ Ruby (gemspec), PHP (composer), Node.js နှင့် Python နှင့် C/C++ ပရောဂျက်အချို့အတွက် ဗားရှင်းများရှိပါသည်။ Dependency Check သည် Ant၊ Maven နှင့် Gradle နှင့် Jenkins ကဲ့သို့ စဉ်ဆက်မပြတ် ပေါင်းစပ်ဆာဗာများအပါအဝင် ဘုံတည်ဆောက်မှုကိရိယာများနှင့် ပေါင်းစပ်ထားသည်။

Dependency Check သည် NIST ၏ National Vulnerability Database (NVD) မှ သိထားသည့် အားနည်းချက်များရှိသည့် အစိတ်အပိုင်းအားလုံးကို အစီရင်ခံပြီး NVD သတင်းဖိဒ်များမှ ဒေတာများဖြင့် အပ်ဒိတ်လုပ်ထားသည်။

ကံကောင်းစွာဖြင့်၊ ဤအရာအားလုံးကို OWASP မှီခိုမှုစစ်ဆေးခြင်းပရောဂျက် သို့မဟုတ် စီးပွားဖြစ်ပရိုဂရမ်ကဲ့သို့သော ကိရိယာများကို အသုံးပြု၍ အလိုအလျောက်လုပ်ဆောင်နိုင်သည်။ အနက်ရောင်ဘဲ, JFrog Xray, သရဲ, Nexus Lifecycle Sonatype သို့မဟုတ် အရင်းအမြစ်ရှင်းလင်း.

ဤကိရိယာများကို အလိုအလျောက် စာရင်းဖွင့်ရန် အရင်းအမြစ် မှီခိုမှုပြုလုပ်ရန် ပိုက်လိုင်းများ တွင် ထည့်သွင်းနိုင်ပြီး၊ သိပြီးသား အားနည်းချက်များပါရှိသော ဒိတ်အောက်နေသော ဒိတ်ဒိတ်ကြဲ စာကြည့်တိုက်များနှင့် စာကြည့်တိုက်များ၏ ဗားရှင်းများကို ခွဲခြားသတ်မှတ်နိုင်ပြီး ကြီးလေးသော ပြဿနာများကို တွေ့ရှိပါက တည်ဆောက်မှုကို ပယ်ဖျက်နိုင်သည်။

OWASP မှီခိုမှုစစ်ဆေးခြင်း။

မှီခိုမှုစစ်ဆေးနည်းကို စမ်းသပ်ပြီး သရုပ်ပြရန်၊ ကျွန်ုပ်တို့သည် ဤသိမ်းဆည်းမှုကို အသုံးပြုပါသည်။ မှီခိုမှု-စစ်ဆေးခြင်း-ဥပမာ.

HTML အစီရင်ခံစာကိုကြည့်ရှုရန်၊ သင်သည်သင်၏ gitlab-runner တွင် nginx ဝဘ်ဆာဗာကို configure လုပ်ရန်လိုအပ်သည်။

အနည်းဆုံး nginx config ၏ ဥပမာ-

server {
    listen       9999;
    listen       [::]:9999;
    server_name  _;
    root         /home/gitlab-runner/builds;

    location / {
        autoindex on;
    }

    error_page 404 /404.html;
        location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }
}

စည်းဝေးပွဲအဆုံးတွင် ဤပုံကို သင်မြင်နိုင်သည်-

လင့်ခ်ကို လိုက်နာပြီး မှီခိုမှု စစ်ဆေးခြင်း အစီရင်ခံစာကို ကြည့်ပါ။

ပထမစခရင်ရှော့ပုံသည် အကျဉ်းချုပ်နှင့်အတူ အစီရင်ခံစာ၏ထိပ်ပိုင်းဖြစ်သည်။

ဒုတိယ ဖန်သားပြင်ဓာတ်ပုံအသေးစိတ် CVE-2017-5638။ ဤနေရာတွင် ကျွန်ုပ်တို့သည် CVE အဆင့်နှင့် exploits များဆီသို့ လင့်ခ်များကို တွေ့သည်။

တတိယစခရင်ရှော့ပုံသည် log4j-api-2.7.jar ၏အသေးစိတ်အချက်အလက်များဖြစ်သည်။ CVE အဆင့်များသည် 7.5 နှင့် 9.8 ဖြစ်သည် ။

စတုတ္ထစခရင်ရှော့ပုံသည် commons-fileupload-1.3.2.jar ၏အသေးစိတ်အချက်အလက်များဖြစ်သည်။ CVE အဆင့်များသည် 7.5 နှင့် 9.8 ဖြစ်သည် ။

အကယ်၍ သင်သည် gitlab စာမျက်နှာများကို အသုံးပြုလိုပါက ၎င်းသည် အလုပ်မဖြစ်ပါ - ကျဆင်းသွားသော လုပ်ဆောင်စရာသည် လက်ရာတစ်ခုကို ဖန်တီးမည်မဟုတ်ပါ။

ဥပမာ ဒီမှာ https://gitlab.com/anton_patsev/dependency-check-example-gitlab-pages.

ထုတ်ပေးမှုတည်ဆောက်ခြင်း- ရှေးဟောင်းပစ္စည်းများမရှိပါ၊ html အစီရင်ခံစာကို ကျွန်ုပ်မတွေ့ပါ။ Artifact- အမြဲကြိုးစားသင့်တယ်။

https://gitlab.com/anton_patsev/dependency-check-example-gitlab-pages/-/jobs/400004246

CVE အားနည်းချက်များ အဆင့်ကို ထိန်းညှိခြင်း။

gitlab-ci.yaml ဖိုင်ရှိ အရေးကြီးဆုံးစာကြောင်း

mvn $MAVEN_CLI_OPTS test org.owasp:dependency-check-maven:check -DfailBuildOnCVSS=7

failBuildOnCVSS parameter ဖြင့် သင်တုံ့ပြန်ရန်လိုအပ်သည့် CVE အားနည်းချက်အဆင့်ကို ချိန်ညှိနိုင်သည်။

NIST Vulnerability Database (NVD) ကို အင်တာနက်မှ ဒေါင်းလုဒ်လုပ်နေသည်။

NIST သည် NIST vulnerability databases (NVD) ကို အင်တာနက်မှ အဆက်မပြတ် ဒေါင်းလုဒ်လုပ်သည်ကို သတိပြုမိပါသလား။

ဒေါင်းလုဒ်လုပ်ရန်၊ သင်သည် utility ကိုသုံးနိုင်သည်။ nist_data_mirror_golang

ထည့်သွင်းပြီး စတင်လိုက်ရအောင်။

yum -y install yum-plugin-copr
yum copr enable antonpatsev/nist_data_mirror_golang
yum -y install nist-data-mirror
systemctl start nist-data-mirror

Nist-data-mirror သည် NIST JSON CVE ကို /var/www/repos/nist-data-mirror/ သို့ လွှင့်တင်ပြီး 24 နာရီတိုင်း ဒေတာကို အပ်ဒိတ်လုပ်ပါသည်။

CVE JSON NIST ကိုဒေါင်းလုဒ်လုပ်ရန်၊ သင်သည် nginx ဝဘ်ဆာဗာ (ဥပမာ၊ သင်၏ gitlab-runner) ကို configure လုပ်ရန် လိုအပ်သည်။

အနည်းဆုံး nginx config ၏ ဥပမာ-

server {
    listen       12345;
    listen       [::]:12345;
    server_name  _;
    root         /var/www/repos/nist-data-mirror/;

    location / {
        autoindex on;
    }

    error_page 404 /404.html;
        location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }

}

mvn စတင်သည့်နေရာတွင် ရှည်လျားသောမျဉ်းကို မပြုလုပ်ရန်အတွက်၊ ကျွန်ုပ်တို့သည် ကန့်သတ်ချက်များကို သီးခြားပြောင်းလဲနိုင်သော DEPENDENCY_OPTS သို့ ရွှေ့ပါမည်။

နောက်ဆုံးအသေးဆုံး config .gitlab-ci.yml သည် ဤကဲ့သို့ဖြစ်နေလိမ့်မည်-

variables:
  MAVEN_OPTS: "-Dhttps.protocols=TLSv1.2 -Dmaven.repo.local=$CI_PROJECT_DIR/.m2/repository -Dorg.slf4j.simpleLogger.log.org.apache.maven.cli.transfer.Slf4jMavenTransferListener=WARN -Dorg.slf4j.simpleLogger.showDateTime=true -Djava.awt.headless=true"
  MAVEN_CLI_OPTS: "--batch-mode --errors --fail-at-end --show-version -DinstallAtEnd=true -DdeployAtEnd=true"
  DEPENDENCY_OPTS: "-DfailBuildOnCVSS=7 -DcveUrlModified=http://localhost:12345/nvdcve-1.1-modified.json.gz -DcveUrlBase=http://localhost:12345/nvdcve-1.1-%d.json.gz"

cache:
  paths:
    - .m2/repository

verify:
  stage: test
  script:
    - set +e
    - mvn $MAVEN_CLI_OPTS install org.owasp:dependency-check-maven:check $DEPENDENCY_OPTS || EXIT_CODE=$?
    - export PATH_WITHOUT_HOME=$(pwd | sed -e "s//home/gitlab-runner/builds//g")
    - echo "************************* URL Dependency-check-report.html *************************"
    - echo "http://$HOSTNAME:9999$PATH_WITHOUT_HOME/target/dependency-check-report.html"
    - set -e
    - exit ${EXIT_CODE}
  tags:
    - shell

DevOps နှင့် Security အကြောင်း Telegram မှ စကားပြောသည်။
Telegram ချန်နယ် DevSecOps / SSDLC - လုံခြုံသော ဖွံ့ဖြိုးတိုးတက်မှု

source: www.habr.com