DevSecOps: सञ्चालनका सिद्धान्तहरू र SCA को तुलना। भाग एक

विकास प्रक्रियामा तेस्रो-पक्ष सफ्टवेयर कम्पोनेन्टहरू (सफ्टवेयर रचना विश्लेषण - SCA) को विश्लेषणको महत्त्व खुला स्रोत पुस्तकालयहरूको कमजोरीहरूमा वार्षिक रिपोर्टहरू जारीसँगै बढ्दै गएको छ, जुन Synopsys, Sonatype, Snyk, र White Source द्वारा प्रकाशित छन्। । रिपोर्ट अनुसार खुला स्रोत सुरक्षा कमजोरीहरू 2020 को राज्य 2019 मा पहिचान गरिएको खुला स्रोत कमजोरीहरूको संख्या अघिल्लो वर्षको तुलनामा लगभग 1.5 गुणा बढ्यो, जबकि खुला स्रोत घटकहरू 60% देखि 80% परियोजनाहरूमा प्रयोग गरिन्छ। एक स्वतन्त्र आधारमा, SCA प्रक्रियाहरू परिपक्वताको सूचकको रूपमा OWASP SAMM र BSIMM को छुट्टै अभ्यास हो, र 2020 को पहिलो भागमा, OWASP ले नयाँ OWASP सफ्टवेयर कम्पोनेन्ट प्रमाणीकरण मानक (SCVS) जारी गर्‍यो, तेस्रो-प्रमाणीकरणका लागि उत्तम अभ्यासहरू प्रदान गर्दै। आपूर्ति श्रृंखला BY मा पार्टी घटक।

सबैभन्दा उदाहरणीय केसहरू मध्ये एक भयो मे २०१७ मा Equifax सँग। अज्ञात आक्रमणकारीहरूले पूर्ण नाम, ठेगाना, सामाजिक सुरक्षा नम्बर र ड्राइभर इजाजतपत्र सहित 2017 मिलियन अमेरिकीहरूको बारेमा जानकारी प्राप्त गरे। 143 मामिलाहरूमा, कागजातहरूमा पीडितहरूको बैंक कार्डहरूको बारेमा जानकारी पनि समावेश थियो। यो चुहावट Apache Struts 209 (CVE-000-2) मा एक महत्वपूर्ण जोखिमको शोषणको परिणामको रूपमा भएको थियो, जबकि फिक्स मार्च 2017 मा जारी गरिएको थियो। कम्पनीले अपडेट इन्स्टल गर्न दुई महिनाको समय पाए पनि कसैले वास्ता गरेनन् ।

यस लेखले विश्लेषण परिणामहरूको गुणस्तरको दृष्टिकोणबाट SCA सञ्चालन गर्न उपकरण छनौट गर्ने मुद्दामा छलफल गर्नेछ। उपकरणहरूको कार्यात्मक तुलना पनि प्रदान गरिनेछ। CI/CD मा एकीकृत गर्ने प्रक्रिया र एकीकरण क्षमताहरू पछिका प्रकाशनहरूको लागि छोडिनेछ। OWASP द्वारा उपकरणहरूको एक विस्तृत श्रृंखला प्रस्तुत गरिएको थियो तपाईंको वेबसाइटमा, तर हालको समीक्षामा हामी सबैभन्दा लोकप्रिय खुला स्रोत उपकरण निर्भरता जाँच, थोरै कम ज्ञात खुला स्रोत प्लेटफर्म निर्भरता ट्र्याक र इन्टरप्राइज समाधान Sonatype Nexus IQ मा मात्र छुनेछौं। हामी यी समाधानहरूले कसरी काम गर्छ भन्ने कुरा पनि बुझ्नेछौं र झूटा सकारात्मकका लागि प्राप्त परिणामहरू तुलना गर्नेछौं।

कसरी यो काम गर्दछ

निर्भरता जाँच एक उपयोगिता (CLI, maven, jenkins मोड्युल, ant) ​​हो जसले परियोजना फाइलहरू विश्लेषण गर्दछ, निर्भरताहरू (प्याकेज नाम, groupid, विशिष्टता शीर्षक, संस्करण...) को बारेमा जानकारीको टुक्राहरू सङ्कलन गर्दछ, CPE (सामान्य प्लेटफर्म गणना) लाइन बनाउँछ। , प्याकेज URL (PURL) र डाटाबेसहरू (NVD, Sonatype OSS Index, NPM Audit API...) बाट CPE/PURL को लागि कमजोरीहरू पहिचान गर्दछ, त्यसपछि यसले HTML, JSON, XML ढाँचामा एक-पटक रिपोर्ट बनाउँछ...

CPE कस्तो देखिन्छ हेरौं:

cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other

• भाग: कम्पोनेन्ट अनुप्रयोग (a), अपरेटिङ सिस्टम (o), हार्डवेयर (h) (आवश्यक) सँग सम्बन्धित छ भन्ने संकेत।
• विक्रेता: उत्पादन निर्माताको नाम (आवश्यक)
• उत्पादन: उत्पादनको नाम (आवश्यक)
• संस्करण: कम्पोनेन्ट संस्करण (अप्रचलित वस्तु)
• अपडेट: प्याकेज अपडेट
• संस्करण: लिगेसी संस्करण (बञ्चित वस्तु)
• भाषा: RFC-5646 मा परिभाषित भाषा
• SW संस्करण: सफ्टवेयर संस्करण
• लक्ष्य SW: सफ्टवेयर वातावरण जसमा उत्पादन सञ्चालन हुन्छ
• लक्ष्य HW: उत्पादन सञ्चालन हुने हार्डवेयर वातावरण
• अन्य: आपूर्तिकर्ता वा उत्पादन जानकारी

उदाहरण CPE यस्तो देखिन्छ:

cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*

रेखाको अर्थ CPE संस्करण 2.3 ले निर्माताको एप कम्पोनेन्टको वर्णन गर्छ pivotal_software शीर्षक संग spring_framework संस्करण 3.0.0। यदि हामी एक कमजोरी खोल्छौं CVE-2014-0225 NVD मा, हामी यो CPE को उल्लेख देख्न सक्छौं। तपाईंले तुरुन्तै ध्यान दिनु पर्ने पहिलो समस्या भनेको NVD मा CVE, CPE अनुसार, फ्रेमवर्कमा समस्या रिपोर्ट गर्छ, र कुनै खास कम्पोनेन्टमा होइन। त्यो हो, यदि विकासकर्ताहरू फ्रेमवर्कमा कडा रूपमा बाँधिएका छन्, र पहिचान गरिएको कमजोरीले विकासकर्ताहरूले प्रयोग गर्ने मोड्युलहरूलाई असर गर्दैन भने, सुरक्षा विशेषज्ञले कुनै न कुनै रूपमा यो CVE छुट्याउन र अद्यावधिक गर्ने बारे सोच्नु पर्छ।

URL SCA उपकरणहरू द्वारा पनि प्रयोग गरिन्छ। प्याकेज URL ढाँचा निम्नानुसार छ:

scheme:type/namespace/name@version?qualifiers#subpath

• योजना: त्यहाँ सधैं 'pkg' हुनेछ भनेर संकेत गर्दछ कि यो प्याकेज URL हो (आवश्यक)
• प्रकार: प्याकेजको "प्रकार" वा प्याकेजको "प्रोटोकल", जस्तै maven, npm, nuget, gem, pypi, आदि। (आवश्यक वस्तु)
• नेमस्पेस: केही नाम उपसर्ग, जस्तै Maven समूह ID, Docker छवि मालिक, GitHub प्रयोगकर्ता, वा संगठन। वैकल्पिक र प्रकार मा निर्भर गर्दछ।
• नाम: प्याकेजको नाम (आवश्यक)
• संस्करण: प्याकेज संस्करण
• योग्यता: प्याकेजको लागि अतिरिक्त योग्यता डेटा, जस्तै OS, वास्तुकला, वितरण, इत्यादि। ऐच्छिक र प्रकार-विशिष्ट।
• उपपथ: प्याकेज रूटको सापेक्ष प्याकेजमा थप पथ

उदाहरणका लागि:

pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]

निर्भरता ट्रयाक - एक अन-प्रिमाइस वेब प्लेटफर्म जसले तयार-बनाएको बिल अफ मटेरियल (BOM) लाई स्वीकार गर्दछ चक्रवात डीएक्स и एसपीडीएक्स, त्यो हो, अवस्थित निर्भरताहरूको बारेमा तयार-बनाइएका विशिष्टताहरू। यो निर्भरताहरू वर्णन गर्ने XML फाइल हो - नाम, ह्यासहरू, प्याकेज url, प्रकाशक, इजाजतपत्र। अर्को, निर्भरता ट्र्याकले BOM लाई पार्स गर्दछ, भेद्यता डाटाबेस (NVD, Sonatype OSS Index...) बाट पहिचान गरिएका निर्भरताहरूमा उपलब्ध CVEs हेर्छ, त्यसपछि यसले ग्राफहरू बनाउँछ, मेट्रिक्स गणना गर्दछ, कम्पोनेन्टहरूको जोखिम स्थितिमा डेटा नियमित रूपमा अद्यावधिक गर्दछ। ।

XML ढाँचामा BOM कस्तो देखिन सक्छ भन्ने उदाहरण:

<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
  <components>
    <component type="library">
      <publisher>Apache</publisher>
      <group>org.apache.tomcat</group>
      <name>tomcat-catalina</name>
      <version>9.0.14</version>
      <hashes>
        <hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
        <hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
        <hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
        <hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
      </hashes>
      <licenses>
        <license>
          <id>Apache-2.0</id>
        </license>
      </licenses>
      <purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
    </component>
      <!-- More components here -->
  </components>
</bom>

BOM लाई निर्भरता ट्र्याकको लागि इनपुट प्यारामिटरको रूपमा मात्र प्रयोग गर्न सकिँदैन, तर आपूर्ति श्रृंखलामा सफ्टवेयर कम्पोनेन्टहरू इन्भेन्टरी गर्नका लागि पनि प्रयोग गर्न सकिन्छ, उदाहरणका लागि, ग्राहकलाई सफ्टवेयर प्रदान गर्न। 2014 मा, संयुक्त राज्य अमेरिका मा एक कानून पनि प्रस्ताव गरिएको थियो "साइबर आपूर्ति श्रृंखला व्यवस्थापन र पारदर्शिता ऐन २०१४", जसमा भनिएको छ कि सफ्टवेयर खरिद गर्दा, कुनै पनि राज्य। संस्थाले कमजोर कम्पोनेन्टहरूको प्रयोग रोक्नको लागि BOM अनुरोध गर्नुपर्छ, तर ऐन अझै लागू भएको छैन।

SCA मा फर्केर, डिपेन्डेन्सी ट्र्याकसँग सूचना प्लेटफर्महरू जस्तै स्ल्याक, केन्ना सुरक्षा जस्ता कमजोरी व्यवस्थापन प्रणालीहरूसँग रेडिमेड एकीकरणहरू छन्। यो पनि भन्न लायक छ कि निर्भरता ट्र्याक, अन्य चीजहरू बीच, प्याकेजहरूको पुरानो संस्करणहरू पहिचान गर्दछ र इजाजतपत्रहरूको बारेमा जानकारी प्रदान गर्दछ (SPDX समर्थनको कारण)।

यदि हामी विशेष गरी SCA को गुणस्तरको बारेमा कुरा गर्छौं भने, त्यहाँ एक आधारभूत भिन्नता छ।

निर्भरता ट्र्याकले परियोजनालाई इनपुटको रूपमा स्वीकार गर्दैन, बरु BOM। यसको मतलब यो हो कि यदि हामी परियोजना परीक्षण गर्न चाहन्छौं भने, हामीले पहिले bom.xml उत्पन्न गर्न आवश्यक छ, उदाहरणका लागि CycloneDX प्रयोग गरेर। यसैले, निर्भरता ट्र्याक सीधा CycloneDX मा निर्भर छ। एकै समयमा, यसले अनुकूलनको लागि अनुमति दिन्छ। यो OZON टोलीले लेखेको हो CycloneDX मोड्युल डिपेन्डेन्सी ट्र्याक मार्फत थप स्क्यानिङको लागि गोलाङ परियोजनाहरूका लागि BOM फाइलहरू सङ्कलन गर्न।

Nexus IQ Sonatype बाट व्यावसायिक SCA समाधान हो, जुन Sonatype इकोसिस्टमको भाग हो, जसमा Nexus Repository Manager पनि समावेश छ। यदि तपाईंको संगठनले CycloneDX बाट नयाँ समाधानमा स्विच गरेको छैन भने, Nexus IQ ले वेब इन्टरफेस वा API, र BOM मार्फत युद्ध अभिलेखहरू (जाभा परियोजनाहरूका लागि) दुवै इनपुटको रूपमा स्वीकार गर्न सक्छ। खुला स्रोत समाधानहरूको विपरीत, IQ ले CP/PURL लाई पहिचान गरिएको कम्पोनेन्ट र डाटाबेसमा सम्बन्धित जोखिमलाई मात्र जनाउँदैन, तर यसको आफ्नै अनुसन्धानलाई पनि ध्यानमा राख्छ, उदाहरणका लागि, कमजोर प्रकार्य वा वर्गको नाम। नतिजाको विश्लेषणमा IQ को संयन्त्रहरू पछि छलफल गरिनेछ।

केही कार्यात्मक सुविधाहरू संक्षेप गरौं, र विश्लेषणको लागि समर्थित भाषाहरू पनि विचार गरौं:

भाषा
Nexus IQ
निर्भरता जाँच
निर्भरता ट्रयाक

Java
+
+
+

सी / सी ++
+
+
-

C#
+
+
-

.Net
+
+
+

एरलाlang
-
-
+

जाभास्क्रिप्ट (नोडजेएस)
+
+
+

PHP
+
+
+

अजगर
+
+
+

रूबी
+
+
+

पर्ल
-
-
-

Scala
+
+
+

उद्देश्य सी
+
+
-

तेज
+
+
-

R
+
-
-

Go
+
+
+

कार्यक्षमता

कार्यक्षमता
Nexus IQ
निर्भरता जाँच
निर्भरता ट्रयाक

स्रोत कोडमा प्रयोग गरिएका कम्पोनेन्टहरू इजाजतपत्र शुद्धताको लागि जाँच गरिएको छ भनी सुनिश्चित गर्ने क्षमता
+
-
+

डकर छविहरूको लागि कमजोरीहरू र इजाजतपत्र सफाईको लागि स्क्यान र विश्लेषण गर्ने क्षमता
+ Clair संग एकीकरण
-
-

खुला स्रोत पुस्तकालयहरू प्रयोग गर्न सुरक्षा नीतिहरू कन्फिगर गर्ने क्षमता
+
-
-

कमजोर कम्पोनेन्टहरूका लागि खुला स्रोत भण्डारहरू स्क्यान गर्ने क्षमता
+ RubyGems, Maven, NPM, Nuget, Pypi, Conan, Bower, Conda, Go, p2, R, Yum, Helm, Docker, CocoaPods, Git LFS
-
+ हेक्स, RubyGems, Maven, NPM, Nuget, Pypi

एक विशेष अनुसन्धान समूह को उपलब्धता
+
-
-

बन्द लूप सञ्चालन
+
+
+

तेस्रो पक्ष डाटाबेस प्रयोग गर्दै
+ बन्द Sonatype डाटाबेस
+ Sonatype OSS, NPM सार्वजनिक सल्लाहकारहरू
+ Sonatype OSS, NPM सार्वजनिक सल्लाहकार, RetireJS, VulnDB, यसको आफ्नै जोखिम डाटाबेसको लागि समर्थन

कन्फिगर गरिएका नीतिहरू अनुसार विकास लूपमा लोड गर्ने प्रयास गर्दा खुला स्रोत घटकहरू फिल्टर गर्ने क्षमता
+
-
-

कमजोरीहरू फिक्स गर्नका लागि सिफारिसहरू, फिक्सहरूमा लिङ्कहरूको उपलब्धता
+
+- (सार्वजनिक डाटाबेसमा विवरणमा निर्भर गर्दछ)
+- (सार्वजनिक डाटाबेसमा विवरणमा निर्भर गर्दछ)

गम्भीरता द्वारा पत्ता लगाइएको कमजोरीहरूको श्रेणीकरण
+
+
+

भूमिकामा आधारित पहुँच मोडेल
+
-
+

CLI समर्थन
+
+
+- (केवल CycloneDX को लागी)

परिभाषित मापदण्ड अनुसार कमजोरीहरूको नमूना / क्रमबद्ध
+
-
+

आवेदन स्थिति द्वारा ड्यासबोर्ड
+
-
+

PDF ढाँचामा रिपोर्टहरू उत्पन्न गर्दै
+
-
-

JSONCSV ढाँचामा रिपोर्टहरू उत्पन्न गर्दै
+
+
-

रूसी भाषा समर्थन
-
-
-

एकीकरण क्षमताहरू

एकीकरण
Nexus IQ
निर्भरता जाँच
निर्भरता ट्रयाक

LDAP/सक्रिय निर्देशिका एकीकरण
+
-
+

निरन्तर एकीकरण प्रणाली बाँसको साथ एकीकरण
+
-
-

निरन्तर एकीकरण प्रणाली TeamCity संग एकीकरण
+
-
-

निरन्तर एकीकरण प्रणाली GitLab संग एकीकरण
+
+- (GitLab को लागी एक प्लगइन को रूप मा)
+

निरन्तर एकीकरण प्रणाली जेनकिन्सको साथ एकीकरण
+
+
+

IDE का लागि प्लगइनहरूको उपलब्धता
+ IntelliJ, Eclipse, Visual Studio
-
-

उपकरणको वेब-सेवाहरू (API) मार्फत अनुकूलन एकीकरणको लागि समर्थन
+
-
+

निर्भरता जाँच

पहिलो सुरुवात

जानाजानी कमजोर अनुप्रयोगमा निर्भरता जाँच चलाउनुहोस् DVJA.

यसका लागि हामी प्रयोग गर्नेछौं निर्भरता जाँच Maven प्लगइन:

mvn org.owasp:dependency-check-maven:check

फलस्वरूप, निर्भरता-चेक-report.html लक्ष्य डाइरेक्टरीमा देखा पर्नेछ।

फाइल खोलौं। कमजोरीहरूको कुल संख्याको बारेमा सारांश जानकारी पछि, हामी प्याकेज, CPE, र CVE को सङ्ख्यालाई सङ्केत गर्दै उच्च स्तरको गम्भीरता र आत्मविश्वासका साथ कमजोरीहरूको बारेमा जानकारी देख्न सक्छौं।

अर्को थप विस्तृत जानकारी आउँछ, विशेष गरी जसको आधारमा निर्णय गरिएको थियो (प्रमाण), त्यो हो, एक निश्चित BOM।

अर्को CPE, PURL र CVE विवरण आउँछ। वैसे, NVD डाटाबेसमा तिनीहरूको अनुपस्थितिको कारण सुधारका लागि सिफारिसहरू समावेश गरिएको छैन।

व्यवस्थित रूपमा स्क्यान नतिजाहरू हेर्नको लागि, तपाईंले Nginx लाई न्यूनतम सेटिङहरूसँग कन्फिगर गर्न सक्नुहुन्छ, वा नतिजाको दोषहरूलाई दोष व्यवस्थापन प्रणालीमा पठाउन सक्नुहुन्छ जसले कनेक्टरहरूलाई निर्भरता जाँचमा समर्थन गर्दछ। उदाहरणका लागि, दोष डोजो।

निर्भरता ट्रयाक

सेटिङ

निर्भरता ट्र्याक, बारीमा, प्रदर्शन ग्राफहरू भएको वेब-आधारित प्लेटफर्म हो, त्यसैले तेस्रो-पक्ष समाधानमा दोषहरू भण्डारण गर्ने दबाबको मुद्दा यहाँ उठ्दैन।
स्थापनाका लागि समर्थित स्क्रिप्टहरू हुन्: डकर, वार, कार्यान्वयनयोग्य युद्ध।

पहिलो सुरुवात

हामी चलिरहेको सेवाको URL मा जान्छौं। हामी प्रशासक/व्यवस्थापक मार्फत लग इन गर्छौं, लगइन र पासवर्ड परिवर्तन गर्छौं, र त्यसपछि ड्यासबोर्डमा जान्छौं। अर्को कुरा हामीले जाभामा परीक्षण अनुप्रयोगको लागि एउटा परियोजना सिर्जना गर्नेछौं घर/परियोजनाहरू → परियोजना सिर्जना गर्नुहोस् । DVJA लाई उदाहरणको रूपमा लिनुहोस्।

निर्भरता ट्र्याकले BOM लाई मात्र इनपुटको रूपमा स्वीकार गर्न सक्ने भएकोले, यो BOM पुन: प्राप्त गरिनुपर्छ। सदुपयोग गरौं CycloneDX Maven प्लगइन:

mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom

हामी bom.xml पाउँछौं र सिर्जना गरिएको परियोजनामा ​​फाइल लोड गर्छौं DVJA → निर्भरता → अपलोड BOM.

प्रशासन → विश्लेषकहरूमा जाऔं। हामी बुझ्छौं कि हामीसँग केवल आन्तरिक विश्लेषक सक्षम छ, जसमा NVD समावेश छ। Sonatype OSS Index लाई पनि जडान गरौं।

यसरी, हामीले हाम्रो परियोजनाको लागि निम्न चित्र पाउँछौं:

साथै सूचीमा तपाईंले सोनाटाइप OSS मा लागू हुने एउटा कमजोरी फेला पार्न सक्नुहुन्छ:

मुख्य निराशा भनेको निर्भरता ट्र्याकले अब निर्भरता जाँच xml रिपोर्टहरू स्वीकार गर्दैन। निर्भरता जाँच एकीकरणको नवीनतम समर्थित संस्करणहरू 1.0.0 - 4.0.2 थिए, जबकि मैले 5.3.2 परीक्षण गरें।

यहाँ видео (र हेर) जब यो अझै सम्भव थियो।

Nexus IQ

पहिलो सुरुवात

Nexus IQ को स्थापना को अभिलेखबाट आउँछ कागजात, तर हामीले यी उद्देश्यका लागि डकर छवि बनाएका छौं।

कन्सोलमा लग इन गरेपछि, तपाईंले संगठन र अनुप्रयोग सिर्जना गर्न आवश्यक छ।

तपाईले देख्न सक्नुहुने रूपमा, IQ को मामलामा सेटअप अलि बढी जटिल छ, किनभने हामीले विभिन्न "चरणहरू" (dev, build, चरण, रिलीज) को लागी लागू हुने नीतिहरू पनि बनाउनु पर्छ। यो कमजोर कम्पोनेन्टहरू ब्लक गर्न आवश्यक छ जब तिनीहरू पाइपलाइनबाट उत्पादनको नजिक जान्छ, वा विकासकर्ताहरूले डाउनलोड गर्दा Nexus Repo मा पुग्ने बित्तिकै तिनीहरूलाई ब्लक गर्न आवश्यक छ।

ओपन सोर्स र इन्टरप्राइज बीचको भिन्नता महसुस गर्न, Nexus IQ मार्फत एउटै स्क्यान गरौं। माभेन प्लगइन, पहिले नै NexusIQ इन्टरफेसमा एउटा परीक्षण अनुप्रयोग सिर्जना गरेको dvja-test-and-compare:

mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>

IQ वेब इन्टरफेसमा उत्पन्न रिपोर्टको URL लाई पछ्याउनुहोस्:

यहाँ तपाईंले विभिन्न महत्वका स्तरहरू (जानकारी देखि सुरक्षा क्रिटिकल सम्म) सङ्केत गर्ने सबै नीति उल्लङ्घनहरू देख्न सक्नुहुन्छ। कम्पोनेन्टको छेउमा अक्षर D को अर्थ कम्पोनेन्ट प्रत्यक्ष निर्भरता हो, र कम्पोनेन्टको छेउमा रहेको अक्षर T को मतलब कम्पोनेन्ट ट्रान्जिटिभ डिपेन्डेन्सी हो, अर्थात् यो ट्रान्जिटिभ हो।

वैसे, रिपोर्ट खुला स्रोत सुरक्षा रिपोर्ट २०२० को राज्य Snyk बाट रिपोर्ट गर्दछ कि Node.js, Java र Ruby मा 70% भन्दा बढी खुला स्रोत भेद्यताहरू ट्रान्जिटिभ निर्भरतामा छन्।

यदि हामीले Nexus IQ नीति उल्लङ्घनहरू मध्ये एउटा खोल्यौं भने, हामी कम्पोनेन्टको विवरण देख्न सक्छौं, साथै संस्करण ग्राफ, जसले समय ग्राफमा हालको संस्करणको स्थान देखाउँछ, साथै कुन बिन्दुमा जोखिम बन्द हुन्छ। कमजोर हुनु। ग्राफमा मैनबत्तीको उचाइले यो घटक प्रयोग गर्ने लोकप्रियता देखाउँछ।

यदि तपाइँ कमजोरीहरू खण्डमा जानुहुन्छ र CVE विस्तार गर्नुहुन्छ भने, तपाइँ यस जोखिमको विवरण, उन्मूलनको लागि सिफारिसहरू, साथै यो घटक किन उल्लङ्घन गरिएको थियो, त्यो वर्गको उपस्थिति पढ्न सक्नुहुन्छ। DiskFileitem.class.

जेएस कम्पोनेन्टहरू हटाउँदै, तेस्रो-पक्ष जाभा कम्पोनेन्टहरूसँग सम्बन्धितहरूलाई मात्र संक्षेप गरौं। कोष्ठकहरूमा हामी NVD बाहिर फेला परेका कमजोरीहरूको संख्यालाई संकेत गर्छौं।

कुल Nexus IQ:

• निर्भरता स्क्यान गरिएको: 62
• कमजोर निर्भरताहरू: 16
• भेद्यताहरू फेला पर्यो: 42 (8 sonatype db)

कुल निर्भरता जाँच:

• निर्भरता स्क्यान गरिएको: 47
• कमजोर निर्भरताहरू: 13
• भेद्यताहरू फेला पर्यो: 91 (14 sonatype oss)

कुल निर्भरता ट्र्याक:

• निर्भरता स्क्यान गरिएको: 59
• कमजोर निर्भरताहरू: 10
• भेद्यताहरू फेला पर्यो: 51 (1 sonatype oss)

अर्को चरणहरूमा, हामी प्राप्त परिणामहरूको विश्लेषण गर्नेछौं र यी कमजोरीहरू मध्ये कुन वास्तविक दोष हो र कुन गलत सकारात्मक हो भनेर पत्ता लगाउनेछौं।

अस्वीकरण

यो समीक्षा एक निर्विवाद सत्य होइन। लेखकसँग अरूको पृष्ठभूमि विरुद्ध एक अलग उपकरण हाइलाइट गर्ने लक्ष्य थिएन। समीक्षाको उद्देश्य SCA उपकरणहरूको सञ्चालनको संयन्त्र र तिनीहरूको नतिजा जाँच गर्ने तरिकाहरू देखाउनु थियो।

परिणामहरूको तुलना

Условия:

तेस्रो-पक्ष घटक कमजोरीहरूको लागि गलत सकारात्मक हो:

• पहिचान गरिएको कम्पोनेन्टमा CVE बेमेल
• उदाहरणका लागि, यदि struts2 फ्रेमवर्कमा एउटा जोखिम पहिचान गरिएको छ, र उपकरणले struts-tiles फ्रेमवर्कको कम्पोनेन्टलाई संकेत गर्छ, जसमा यो जोखिम लागू हुँदैन, तब यो गलत सकारात्मक हो।
• कम्पोनेन्टको पहिचान गरिएको संस्करणमा CVE बेमेल
• उदाहरणका लागि, भेद्यता पाइथन संस्करण > 3.5 मा बाँधिएको छ र उपकरणले संस्करण 2.7 लाई कमजोर भनी चिन्ह लगाउँदछ - यो गलत सकारात्मक हो, किनकि वास्तवमा जोखिम 3.x उत्पादन शाखामा मात्र लागू हुन्छ।
• CVE डुप्लिकेट
• उदाहरणका लागि, यदि SCA ले RCE सक्षम गर्ने CVE निर्दिष्ट गर्छ भने, SCA ले त्यही कम्पोनेन्टको लागि CVE निर्दिष्ट गर्दछ जुन त्यो RCE बाट प्रभावित Cisco उत्पादनहरूमा लागू हुन्छ। यस अवस्थामा यो गलत सकारात्मक हुनेछ।
• उदाहरणका लागि, वसन्त-वेब कम्पोनेन्टमा CVE फेला पर्‍यो, जस पछि SCA ले वसन्त फ्रेमवर्कको अन्य कम्पोनेन्टहरूमा उही CVE लाई पोइन्ट गर्छ, जबकि CVE को अन्य कम्पोनेन्टहरूसँग कुनै सम्बन्ध छैन। यस अवस्थामा यो गलत सकारात्मक हुनेछ।

अध्ययनको उद्देश्य खुला स्रोत परियोजना DVJA थियो। अध्ययनमा जाभा कम्पोनेन्टहरू मात्र समावेश थिए (जेएस बिना)।

सारांश परिणामहरू

पहिचान गरिएका कमजोरीहरूको म्यानुअल समीक्षाको नतिजाहरूमा सीधा जाऔं। प्रत्येक CVE को लागि पूर्ण रिपोर्ट परिशिष्टमा फेला पार्न सकिन्छ।

सबै कमजोरीहरूको लागि सारांश परिणामहरू:

परिमिति
Nexus IQ
निर्भरता जाँच
निर्भरता ट्रयाक

कुल कमजोरीहरू पहिचान गरियो
42
91
51

गलत रूपमा पहिचान गरिएको कमजोरीहरू (झूटा सकारात्मक)
2 (4.76%)
62 (68,13%)
29 (56.86%)

कुनै सान्दर्भिक कमजोरीहरू फेला परेन (झूटा नकारात्मक)
10
20
27

घटक द्वारा सारांश परिणाम:

परिमिति
Nexus IQ
निर्भरता जाँच
निर्भरता ट्रयाक

कुल अवयवहरू पहिचान गरियो
62
47
59

कुल कमजोर कम्पोनेन्टहरू
16
13
10

गलत रूपमा पहिचान गरिएका कमजोर घटकहरू (झूटा सकारात्मक)
1
5
0

गलत रूपमा पहिचान गरिएका कमजोर घटकहरू (झूटा सकारात्मक)
0
6
6

असुरक्षाहरूको कुल संख्यामा गलत सकारात्मक र गलत नकारात्मकको अनुपात मूल्याङ्कन गर्न दृश्य ग्राफहरू निर्माण गरौं। कम्पोनेन्टहरू तेर्सो रूपमा चिन्ह लगाइन्छ, र तिनीहरूमा पहिचान गरिएका कमजोरीहरू ठाडो रूपमा चिन्ह लगाइन्छ।

तुलनाको लागि, सोनाटाइप टोलीद्वारा OWASP निर्भरता जाँच प्रयोग गरेर 1531 कम्पोनेन्टहरूको परियोजना परीक्षण गर्दै यस्तै अध्ययन गरिएको थियो। हामी देख्न सक्छौं, प्रतिक्रियाहरू सही गर्न आवाजको अनुपात हाम्रो परिणामहरूसँग तुलनात्मक छ।

स्रोत: www.sonatype.com/why-precision-matters-ebook

यी परिणामहरूको कारण बुझ्नको लागि हाम्रा स्क्यान परिणामहरूबाट केही CVE हेरौं।

थप पढ्नुहोस्

नम्बर 1

पहिले Sonatype Nexus IQ को बारेमा केही रोचक बिन्दुहरू हेरौं।

Nexus IQ ले वसन्त फ्रेमवर्कमा धेरै पटक RCE प्रदर्शन गर्ने क्षमताको साथ डिसिरियलाइजेसनको समस्यालाई औंल्याउँछ। CVE-2016-1000027 spring-web मा: 3.0.5 पहिलो पटक, र CVE-2011-2894 वसन्त-सन्दर्भमा: 3.0.5 र वसन्त-कोर: 3.0.5। सुरुमा, यस्तो देखिन्छ कि त्यहाँ धेरै CVE मा जोखिम को नक्कल छ। किनभने, यदि तपाईंले NVD डाटाबेसमा CVE-2016-1000027 र CVE-2011-2894 हेर्नुभयो भने, सबै कुरा स्पष्ट छ जस्तो देखिन्छ।

अवयव
कमजोरी

spring-web: 3.0.5
CVE-2016-1000027

वसन्त-सन्दर्भ: 3.0.5
CVE-2011-2894

वसन्त कोर: 3.0.5
CVE-2011-2894

विवरण CVE-2011-2894 NVD बाट:


विवरण CVE-2016-1000027 NVD बाट:


CVE-2011-2894 आफैमा धेरै प्रसिद्ध छ। प्रतिवेदनमा सेतो स्रोत २०११ यो CVE सबैभन्दा सामान्य मध्ये एक को रूपमा मान्यता प्राप्त थियो। CVE-2016-100027 का लागि विवरणहरू, सैद्धान्तिक रूपमा, NVD मा थोरै छन्, र यो वसन्त फ्रेमवर्क 4.1.4 को लागि मात्र लागू हुने देखिन्छ। एक नजर हेरौं सन्दर्भ र यहाँ सबै कुरा कम वा कम स्पष्ट हुन्छ। बाट टेनेबल लेखहरू हामी बुझ्छौं कि मा जोखिम को अतिरिक्त RemoteInvocationSerializingExporter CVE-2011-2894 मा, कमजोरी देखाइएको छ HttpInvokerServiceExporter। यो के हो Nexus IQ ले हामीलाई बताउँछ:

यद्यपि, NVD मा यस्तो केहि छैन, त्यसैले निर्भरता जाँच र निर्भरता ट्र्याक प्रत्येक गलत नकारात्मक प्राप्त गर्दछ।

CVE-2011-2894 को विवरणबाट पनि यो बुझ्न सकिन्छ कि जोखिम वास्तवमा वसन्त-सन्दर्भ: 3.0.5 र वसन्त-कोर: 3.0.5 दुवैमा अवस्थित छ। यसको पुष्टि यो कमजोरी फेला पार्ने व्यक्तिको लेखमा पाउन सकिन्छ।

नम्बर 2

अवयव
कमजोरी
परिणाम

struts2-core: 2.3.30
CVE-2016-4003
गलत

यदि हामीले कमजोरी CVE-2016-4003 को अध्ययन गर्छौं भने, हामी बुझ्नेछौं कि यो संस्करण 2.3.28 मा फिक्स गरिएको थियो, यद्यपि, Nexus IQ ले हामीलाई रिपोर्ट गर्छ। जोखिमको विवरणमा एउटा नोट छ:

त्यो हो, जोखिम JRE को पुरानो संस्करणको संयोजनमा मात्र अवस्थित छ, जुन तिनीहरूले हामीलाई चेतावनी दिने निर्णय गरे। जे होस्, हामी यसलाई गलत सकारात्मक मान्दछौं, यद्यपि सबैभन्दा खराब होइन।

№ १

अवयव
कमजोरी
परिणाम

xwork-core: 2.3.30
CVE-2017-9804
साँचो

xwork-core: 2.3.30
CVE-2017-7672
गलत

यदि हामीले CVE-2017-9804 र CVE-2017-7672 को विवरणहरू हेर्छौं भने, हामी बुझ्नेछौं कि समस्या के हो। URLValidator class, CVE-2017-9804 CVE-2017-7672 बाट उत्पन्न भएको। दोस्रो जोखिमको उपस्थितिले यसको गम्भीरता उच्चमा बढेको तथ्य बाहेक कुनै उपयोगी भार बोक्दैन, त्यसैले हामी यसलाई अनावश्यक आवाज मान्न सक्छौं।

समग्रमा, Nexus IQ को लागि कुनै अन्य गलत सकारात्मक फेला परेन।

नम्बर 4

त्यहाँ धेरै चीजहरू छन् जसले IQ लाई अन्य समाधानहरूबाट अलग बनाउँछ।

अवयव
कमजोरी
परिणाम

spring-web: 3.0.5
CVE-2020-5398
साँचो

NVD मा CVE ले भन्छ कि यो 5.2 अघिको 5.2.3.x, 5.1 अघिको 5.1.13.x, र 5.0 अघिको संस्करण 5.0.16.x मा मात्र लागू हुन्छ, यद्यपि, यदि हामीले Nexus IQ मा CVE विवरण हेर्छौं भने , त्यसपछि हामी निम्न देख्नेछौं:
सल्लाहकार विचलन सूचना: Sonatype सुरक्षा अनुसन्धान टोलीले पत्ता लगायो कि यो भेद्यता संस्करण 3.0.2.RELEASE मा प्रस्तुत गरिएको थियो न कि 5.0.x सल्लाहमा उल्लेख गरिए अनुसार।

यो यस जोखिमको लागि एक PoC द्वारा पछ्याइएको छ, जसले यो संस्करण 3.0.5 मा अवस्थित छ भनी बताउँछ।

False negative लाई निर्भरता जाँच र निर्भरता ट्र्याकमा पठाइन्छ।

नम्बर 5

निर्भरता जाँच र निर्भरता ट्र्याकको लागि गलत सकारात्मक हेरौं।

निर्भरता जाँच बाहिर खडा छ कि यसले ती CVE हरू प्रतिबिम्बित गर्दछ जुन NVD मा सम्पूर्ण फ्रेमवर्कमा ती घटकहरूमा लागू हुन्छ जसमा यी CVEहरू लागू हुँदैनन्। यो CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016-1182, CVE-1.3.8-1.3.8 को अन्त्यमा जाँच गर्दछ स्ट्रट्स-ट्यागलिब:१.३.८ र स्ट्रट्स-टाइल्स-१.३.८। यी कम्पोनेन्टहरूसँग CVE मा वर्णन गरिएको कुरासँग कुनै सरोकार छैन - अनुरोध प्रशोधन, पृष्ठ प्रमाणीकरण, र यस्तै। यो तथ्यको कारण हो कि यी CVE र कम्पोनेन्टहरूमा के समान छ त्यो मात्र ढाँचा हो, त्यसैले निर्भरता जाँचले यसलाई एक जोखिम मानेको छ।

उस्तै अवस्था spring-tx: 3.0.5 को साथ छ, र struts-core: 1.3.8 को समान स्थिति। स्ट्रट्स-कोरको लागि, निर्भरता जाँच र निर्भरता ट्र्याकले धेरै कमजोरीहरू फेला पारेको छ जुन वास्तवमा struts2-core मा लागू हुन्छ, जुन अनिवार्य रूपमा एक अलग फ्रेमवर्क हो। यस अवस्थामा, Nexus IQ ले तस्विरलाई सही रूपमा बुझेको छ र यसले जारी गरेको CVE मा यसले स्ट्रट्स-कोर जीवनको अन्त्यमा पुगेको र स्ट्रट्स2-कोरमा जान आवश्यक छ भनी सङ्केत गरेको छ।

नम्बर 6

केहि परिस्थितिहरूमा, यो स्पष्ट निर्भरता जाँच र निर्भरता ट्र्याक त्रुटि को व्याख्या गर्न अनुचित छ। विशेष गरी CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014-0225, CVE-3.0.5-3.0.5, DepXNUMX र DepXNUMX को अन्त्य वसन्त-कोर: XNUMX को श्रेय वास्तवमा spring-web: XNUMX मा सम्बन्धित छ। एकै समयमा, यी मध्ये केही CVEs Nexus IQ द्वारा पनि फेला परेका थिए, तथापि, IQ ले तिनीहरूलाई अर्को कम्पोनेन्टमा सही रूपमा पहिचान गर्यो। किनभने यी कमजोरीहरू वसन्त-कोरमा फेला परेनन्, यो तर्क गर्न सकिँदैन कि तिनीहरू सिद्धान्तमा फ्रेमवर्कमा छैनन् र खुला स्रोत उपकरणहरूले यी कमजोरीहरूलाई सही रूपमा औंल्याएका छन् (तिनीहरूले थोरै मात्र छुटेका छन्)।

निष्कर्ष

हामीले देख्न सक्छौं, म्यानुअल समीक्षाद्वारा पहिचान गरिएका कमजोरीहरूको विश्वसनीयता निर्धारण गर्दा अस्पष्ट परिणामहरू दिँदैन, त्यसैले विवादास्पद मुद्दाहरू उत्पन्न हुन्छन्। परिणामहरू छन् कि Nexus IQ समाधानमा सबैभन्दा कम गलत सकारात्मक दर र उच्चतम शुद्धता छ।

सबैभन्दा पहिले, यो तथ्यको कारणले गर्दा हो कि सोनाटाइप टोलीले NVD बाट प्रत्येक CVE जोखिमको लागि विवरणलाई यसको डेटाबेसमा विस्तार गरेको छ, कम्पोनेन्टहरूको विशेष संस्करणको लागि वर्ग वा प्रकार्यमा कमजोरीहरू संकेत गर्दै, थप अनुसन्धान सञ्चालन गर्दै (उदाहरणका लागि। , पुरानो सफ्टवेयर संस्करणहरूमा कमजोरीहरू जाँच गर्दै)।

नतिजाहरूमा महत्त्वपूर्ण प्रभाव ती कमजोरीहरूद्वारा पनि खेलिन्छ जुन NVD मा समावेश गरिएको थिएन, तर तैपनि सोनाटाइप मार्कको साथ सोनाटाइप डाटाबेसमा उपस्थित छन्। रिपोर्ट अनुसार खुला स्रोत सुरक्षा कमजोरीहरू 2020 को राज्य खुला स्रोत भेद्यताहरू मध्ये 45% NVD लाई रिपोर्ट गरिएको छैन। ह्वाइटसोर्स डाटाबेसका अनुसार, NVD बाहिर रिपोर्ट गरिएका सबै खुला स्रोत कमजोरीहरूमध्ये 29% मात्र त्यहाँ प्रकाशित हुन्छन्, त्यसैले अन्य स्रोतहरूमा पनि कमजोरीहरू खोज्नु महत्त्वपूर्ण छ।

नतिजाको रूपमा, निर्भरता जाँचले धेरै आवाज उत्पन्न गर्दछ, केही कमजोर कम्पोनेन्टहरू हराइरहेको छ। डिपेन्डेन्सी ट्र्याकले कम शोर उत्पन्न गर्छ र धेरै संख्यामा कम्पोनेन्टहरू पत्ता लगाउँछ, जसले वेब इन्टरफेसमा आँखालाई दृष्टिगत रूपमा हानि गर्दैन।

यद्यपि, अभ्यासले देखाउँछ कि खुला स्रोत परिपक्व DevSecOps तर्फको पहिलो चरण बन्नुपर्दछ। विकासमा SCA लाई एकीकरण गर्दा तपाईंले सोच्नु पर्ने पहिलो कुरा भनेको प्रक्रियाहरू हो, अर्थात्, तपाईंको संगठनमा कस्तो आदर्श प्रक्रियाहरू देखिनु पर्छ भन्ने बारे व्यवस्थापन र सम्बन्धित विभागहरूसँग मिलेर सोच्नु। यो बाहिर आउन सक्छ कि तपाइँको संगठन को लागी, सुरुमा, निर्भरता जाँच वा निर्भरता ट्र्याकले सबै व्यवसाय आवश्यकताहरु लाई समेट्छ, र विकास भइरहेको अनुप्रयोगहरु को बढ्दो जटिलता को कारण उद्यम समाधान एक तार्किक निरन्तरता हुनेछ।

परिशिष्ट A: घटक परिणामहरू
किंवदन्ती:

• कम्पोनेन्टमा उच्च-उच्च र महत्वपूर्ण स्तरको कमजोरीहरू
• मध्यम — कम्पोनेन्टमा मध्यम आलोचनात्मकता स्तरको कमजोरीहरू
• सत्य - साँचो सकारात्मक मुद्दा
• FALSE - गलत सकारात्मक मुद्दा

अवयव
Nexus IQ
निर्भरता जाँच
निर्भरता ट्रयाक
परिणाम

dom4j: 1.6.1
उच्च
उच्च
उच्च
साँचो

log4j-core: 2.3
उच्च
उच्च
उच्च
साँचो

log4j: 1.2.14
उच्च
उच्च
-
साँचो

Commons-collections:3.1
उच्च
उच्च
उच्च
साँचो

commons-fileupload: 1.3.2
उच्च
उच्च
उच्च
साँचो

commons-beanutils: 1.7.0
उच्च
उच्च
उच्च
साँचो

commons-codec: 1:10
मध्यम
-
-
साँचो

mysql-connector-java: 5.1.42
उच्च
उच्च
उच्च
साँचो

वसन्त-अभिव्यक्ति: 3.0.5
उच्च
कम्पोनेन्ट फेला परेन

साँचो

spring-web: 3.0.5
उच्च
कम्पोनेन्ट फेला परेन
उच्च
साँचो

वसन्त-सन्दर्भ: 3.0.5
मध्यम
कम्पोनेन्ट फेला परेन
-
साँचो

वसन्त कोर: 3.0.5
मध्यम
उच्च
उच्च
साँचो

struts2-config-browser-plugin: 2.3.30
मध्यम
-
-
साँचो

spring-tx: 3.0.5
-
उच्च
-
गलत

स्ट्रट्स-कोर: 1.3.8
उच्च
उच्च
उच्च
साँचो

xwork-core: 2.3.30
उच्च
-
-
साँचो

struts2-core: 2.3.30
उच्च
उच्च
उच्च
साँचो

स्ट्रट्स-ट्यागलिब: 1.3.8
-
उच्च
-
गलत

struts-tiles-1.3.8
-
उच्च
-
गलत

परिशिष्ट B: जोखिम परिणामहरू
किंवदन्ती:

• कम्पोनेन्टमा उच्च-उच्च र महत्वपूर्ण स्तरको कमजोरीहरू
• मध्यम — कम्पोनेन्टमा मध्यम आलोचनात्मकता स्तरको कमजोरीहरू
• सत्य - साँचो सकारात्मक मुद्दा
• FALSE - गलत सकारात्मक मुद्दा

अवयव
Nexus IQ
निर्भरता जाँच
निर्भरता ट्रयाक
गम्भीरता
परिणाम
टिप्पणी

dom4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
उच्च
साँचो

CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
उच्च
साँचो

log4j-core: 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
उच्च
साँचो

CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
कम
साँचो

log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
उच्च
साँचो

-
CVE-2020-9488
-
कम
साँचो

SONATYPE-2010-0053
-
-
उच्च
साँचो

Commons-collections:3.1
-
CVE-2015-6420
CVE-2015-6420
उच्च
गलत
डुप्लिकेट RCE (OSSINDEX)

-
CVE-2017-15708
CVE-2017-15708
उच्च
गलत
डुप्लिकेट RCE (OSSINDEX)

SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
उच्च
साँचो

commons-fileupload: 1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
उच्च
साँचो

SONATYPE-2014-0173
-
-
मध्यम
साँचो

commons-beanutils: 1.7.0
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
उच्च
साँचो

-
CVE-2019-10086
CVE-2019-10086
उच्च
गलत
भेद्यता केवल संस्करण 1.9.2+ मा लागू हुन्छ

commons-codec: 1:10
SONATYPE-2012-0050
-
-
मध्यम
साँचो

mysql-connector-java: 5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
उच्च
साँचो

CVE-2019-2692
CVE-2019-2692
-
मध्यम
साँचो

-
CVE-2020-2875
-
मध्यम
गलत
CVE-2019-2692 को रूपमा समान जोखिम, तर नोटको साथ "आक्रमणहरूले थप उत्पादनहरूलाई महत्त्वपूर्ण रूपमा असर गर्न सक्छ"

-
CVE-2017-15945
-
उच्च
गलत
mysql-connector-java सँग सान्दर्भिक छैन

-
CVE-2020-2933
-
कम
गलत
CVE-2020-2934 को नक्कल

CVE-2020-2934
CVE-2020-2934
-
मध्यम
साँचो

वसन्त-अभिव्यक्ति: 3.0.5
CVE-2018-1270
कम्पोनेन्ट फेला परेन
-
उच्च
साँचो

CVE-2018-1257
-
-
मध्यम
साँचो

spring-web: 3.0.5
CVE-2016-1000027
कम्पोनेन्ट फेला परेन
-
उच्च
साँचो

CVE-2014-0225
-
CVE-2014-0225
उच्च
साँचो

CVE-2011-2730
-
-
उच्च
साँचो

-
-
CVE-2013-4152
मध्यम
साँचो

CVE-2018-1272
-
-
उच्च
साँचो

CVE-2020-5398
-
-
उच्च
साँचो
IQ को पक्षमा एउटा उदाहरणीय उदाहरण: "Sonatype सुरक्षा अनुसन्धान टोलीले पत्ता लगायो कि यो जोखिम 3.0.2.RELEASE संस्करणमा पेश गरिएको थियो र सल्लाहकारमा भनिए अनुसार 5.0.x होइन।"

CVE-2013-6429
-
-
मध्यम
साँचो

CVE-2014-0054
-
CVE-2014-0054
मध्यम
साँचो

CVE-2013-6430
-
-
मध्यम
साँचो

वसन्त-सन्दर्भ: 3.0.5
CVE-2011-2894
कम्पोनेन्ट फेला परेन
-
मध्यम
साँचो

वसन्त कोर: 3.0.5
-
CVE-2011-2730
CVE-2011-2730
उच्च
साँचो

CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
मध्यम
साँचो

-
-
CVE-2013-4152
मध्यम
गलत
वसन्त-वेबमा उही जोखिमको नक्कल

-
CVE-2013-4152
-
मध्यम
गलत
भेद्यता वसन्त-वेब कम्पोनेन्टसँग सम्बन्धित छ

-
CVE-2013-6429
CVE-2013-6429
मध्यम
गलत
भेद्यता वसन्त-वेब कम्पोनेन्टसँग सम्बन्धित छ

-
CVE-2013-6430
-
मध्यम
गलत
भेद्यता वसन्त-वेब कम्पोनेन्टसँग सम्बन्धित छ

-
CVE-2013-7315
CVE-2013-7315
मध्यम
गलत
CVE-2013-4152 बाट विभाजित। + भेद्यता वसन्त-वेब कम्पोनेन्टसँग सम्बन्धित छ

-
CVE-2014-0054
CVE-2014-0054
मध्यम
गलत
भेद्यता वसन्त-वेब कम्पोनेन्टसँग सम्बन्धित छ

-
CVE-2014-0225
-
उच्च
गलत
भेद्यता वसन्त-वेब कम्पोनेन्टसँग सम्बन्धित छ

-
-
CVE-2014-0225
उच्च
गलत
वसन्त-वेबमा उही जोखिमको नक्कल

-
CVE-2014-1904
CVE-2014-1904
मध्यम
गलत
जोखिम spring-web-mvc कम्पोनेन्टसँग सम्बन्धित छ

-
CVE-2014-3625
CVE-2014-3625
मध्यम
गलत
जोखिम spring-web-mvc कम्पोनेन्टसँग सम्बन्धित छ

-
CVE-2016-9878
CVE-2016-9878
उच्च
गलत
जोखिम spring-web-mvc कम्पोनेन्टसँग सम्बन्धित छ

-
CVE-2018-1270
CVE-2018-1270
उच्च
गलत
वसन्त-अभिव्यक्ति/वसन्त-सन्देशहरूको लागि

-
CVE-2018-1271
CVE-2018-1271
मध्यम
गलत
जोखिम spring-web-mvc कम्पोनेन्टसँग सम्बन्धित छ

-
CVE-2018-1272
CVE-2018-1272
उच्च
साँचो

CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
मध्यम
साँचो

SONATYPE-2015-0327
-
-
कम
साँचो

struts2-config-browser-plugin: 2.3.30
SONATYPE-2016-0104
-
-
मध्यम
साँचो

spring-tx: 3.0.5
-
CVE-2011-2730
-
उच्च
गलत
जोखिम spring-tx को लागि विशिष्ट छैन

-
CVE-2011-2894
-
उच्च
गलत
जोखिम spring-tx को लागि विशिष्ट छैन

-
CVE-2013-4152
-
मध्यम
गलत
जोखिम spring-tx को लागि विशिष्ट छैन

-
CVE-2013-6429
-
मध्यम
गलत
जोखिम spring-tx को लागि विशिष्ट छैन

-
CVE-2013-6430
-
मध्यम
गलत
जोखिम spring-tx को लागि विशिष्ट छैन

-
CVE-2013-7315
-
मध्यम
गलत
जोखिम spring-tx को लागि विशिष्ट छैन

-
CVE-2014-0054
-
मध्यम
गलत
जोखिम spring-tx को लागि विशिष्ट छैन

-
CVE-2014-0225
-
उच्च
गलत
जोखिम spring-tx को लागि विशिष्ट छैन

-
CVE-2014-1904
-
मध्यम
गलत
जोखिम spring-tx को लागि विशिष्ट छैन

-
CVE-2014-3625
-
मध्यम
गलत
जोखिम spring-tx को लागि विशिष्ट छैन

-
CVE-2016-9878
-
उच्च
गलत
जोखिम spring-tx को लागि विशिष्ट छैन

-
CVE-2018-1270
-
उच्च
गलत
जोखिम spring-tx को लागि विशिष्ट छैन

-
CVE-2018-1271
-
मध्यम
गलत
जोखिम spring-tx को लागि विशिष्ट छैन

-
CVE-2018-1272
-
मध्यम
गलत
जोखिम spring-tx को लागि विशिष्ट छैन

स्ट्रट्स-कोर: 1.3.8
-
CVE-2011-5057 (OSSINDEX)

मध्यम
FASLE
स्ट्रट्सको लागि जोखिम 2

-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
उच्च
गलत
स्ट्रट्सको लागि जोखिम 2

-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
मध्यम
गलत
स्ट्रट्सको लागि जोखिम 2

-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
उच्च
गलत
स्ट्रट्सको लागि जोखिम 2

CVE-2016-1182
3VE-2016-1182
-
उच्च
साँचो

-
-
CVE-2011-5057
मध्यम
गलत
स्ट्रट्सको लागि जोखिम 2

-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
उच्च
गलत
स्ट्रट्सको लागि जोखिम 2

-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
मध्यम
गलत
स्ट्रट्सको लागि जोखिम 2

CVE-2015-0899
CVE-2015-0899
-
उच्च
साँचो

-
CVE-2012-0394
CVE-2012-0394
मध्यम
गलत
स्ट्रट्सको लागि जोखिम 2

-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
उच्च
गलत
स्ट्रट्सको लागि जोखिम 2

-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
उच्च
गलत
स्ट्रट्सको लागि जोखिम 2

-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
उच्च
FASLE
स्ट्रट्सको लागि जोखिम 2

-
CVE-2013-2115
CVE-2013-2115
उच्च
FASLE
स्ट्रट्सको लागि जोखिम 2

-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
उच्च
FASLE
स्ट्रट्सको लागि जोखिम 2

-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
उच्च
FASLE
स्ट्रट्सको लागि जोखिम 2

CVE-2014-0114
CVE-2014-0114
-
उच्च
साँचो

-
CVE-2015-2992
CVE-2015-2992
मध्यम
गलत
स्ट्रट्सको लागि जोखिम 2

-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
उच्च
गलत
स्ट्रट्सको लागि जोखिम 2

CVE-2016-1181
CVE-2016-1181
-
उच्च
साँचो

-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
उच्च
गलत
स्ट्रट्सको लागि जोखिम 2

xwork-core: 2.3.30
CVE-2017-9804
-
-
उच्च
साँचो

SONATYPE-2017-0173
-
-
उच्च
साँचो

CVE-2017-7672
-
-
उच्च
गलत
CVE-2017-9804 को नक्कल

SONATYPE-2016-0127
-
-
उच्च
साँचो

struts2-core: 2.3.30
-
CVE-2016-6795
CVE-2016-6795
उच्च
साँचो

-
CVE-2017-9787
CVE-2017-9787
उच्च
साँचो

-
CVE-2017-9791
CVE-2017-9791
उच्च
साँचो

-
CVE-2017-9793
-
उच्च
गलत
CVE-2018-1327 को नक्कल

-
CVE-2017-9804
-
उच्च
साँचो

-
CVE-2017-9805
CVE-2017-9805
उच्च
साँचो

CVE-2016-4003
-
-
मध्यम
गलत
Apache Struts 2.x मा 2.3.28 सम्म लागू हुन्छ, जुन संस्करण 2.3.30 हो। यद्यपि, विवरणको आधारमा, JRE 2 वा कम प्रयोग भएको खण्डमा CVE Struts 1.7 को कुनै पनि संस्करणको लागि मान्य हुन्छ। स्पष्ट रूपमा तिनीहरूले हामीलाई यहाँ पुन: बीमा गर्ने निर्णय गरे, तर यो झूटो जस्तो देखिन्छ

-
CVE-2018-1327
CVE-2018-1327
उच्च
साँचो

CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
उच्च
साँचो
2017 मा इक्विफ्याक्स ह्याकरहरूले शोषण गरेको उही जोखिम

CVE-2017-12611
CVE-2017-12611
-
उच्च
साँचो

CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
उच्च
साँचो

स्ट्रट्स-ट्यागलिब: 1.3.8
-
CVE-2012-0394
-
मध्यम
गलत
struts2-core को लागी

-
CVE-2013-2115
-
उच्च
गलत
struts2-core को लागी

-
CVE-2014-0114
-
उच्च
गलत
कमन्सको लागि - बीनटिलहरू

-
CVE-2015-0899
-
उच्च
गलत
Taglib मा लागू हुँदैन

-
CVE-2015-2992
-
मध्यम
गलत
struts2-core लाई बुझाउँछ

-
CVE-2016-1181
-
उच्च
गलत
Taglib मा लागू हुँदैन

-
CVE-2016-1182
-
उच्च
गलत
Taglib मा लागू हुँदैन

struts-tiles-1.3.8
-
CVE-2012-0394
-
मध्यम
गलत
struts2-core को लागी

-
CVE-2013-2115
-
उच्च
गलत
struts2-core को लागी

-
CVE-2014-0114
-
उच्च
गलत
कमन्स अन्तर्गत - बीनटिलहरू

-
CVE-2015-0899
-
उच्च
गलत
टाइलहरूमा लागू हुँदैन

-
CVE-2015-2992
-
मध्यम
गलत
struts2-core को लागी

-
CVE-2016-1181
-
उच्च
गलत
Taglib मा लागू हुँदैन

-
CVE-2016-1182
-
उच्च
गलत
Taglib मा लागू हुँदैन

स्रोत: www.habr.com