प्रयोग गरिएको पुस्तकालयहरूको लागि कमजोरी स्क्यानर प्रयोग गर्दै निर्भरता-GitlabCI मा जाँच गर्नुहोस्

जोखिम व्यवस्थापनको एउटा महत्त्वपूर्ण भाग भनेको आधुनिक प्रणालीहरू बनाउने सफ्टवेयर कम्पोनेन्टहरूको आपूर्ति श्रृंखलालाई राम्ररी बुझ्न र सुरक्षित गर्नु हो। Agile र DevOps टोलीहरूले विकास समय र लागत कम गर्न खुला स्रोत पुस्तकालयहरू र फ्रेमवर्कहरूको व्यापक प्रयोग गर्छन्। तर यो पदकको पनि नकारात्मक पक्ष छ: अरू मानिसहरूका गल्तीहरू र कमजोरीहरूलाई उत्तराधिकारी बनाउने अवसर।

स्पष्ट रूपमा, टोलीले आफ्नो अनुप्रयोगहरूमा कुन खुला स्रोत कम्पोनेन्टहरू समावेश छन् भनेर जान्न निश्चित हुनुपर्दछ, ज्ञात विश्वसनीय संस्करणहरू ज्ञात विश्वसनीय स्रोतहरूबाट डाउनलोड गरिएको छ भनेर सुनिश्चित गर्नुहोस्, र भर्खरै पत्ता लागेको कमजोरीहरू प्याच गरिसकेपछि कम्पोनेन्टहरूको अपडेट गरिएको संस्करणहरू डाउनलोड गर्नुहोस्।

यस पोष्टमा, हामी निर्माण रद्द गर्न OWASP निर्भरता जाँच प्रयोग गरेर हेर्नेछौं यदि यसले तपाईंको कोडमा गम्भीर समस्याहरू पत्ता लगायो भने।

"एजाइल परियोजनाहरूमा विकास सुरक्षा" पुस्तकमा यसलाई निम्न रूपमा वर्णन गरिएको छ। OWASP निर्भरता जाँच एक नि: शुल्क स्क्यानर हो जसले अनुप्रयोगमा प्रयोग गरिएका सबै खुला स्रोत कम्पोनेन्टहरू सूचीकृत गर्दछ र तिनीहरूमा रहेका कमजोरीहरू देखाउँदछ। त्यहाँ Java, .NET, Ruby (gemspec), PHP (कम्पोजर), Node.js र Python, साथै केही C/C++ परियोजनाहरूका लागि संस्करणहरू छन्। डिपेन्डेन्सी चेक एन्ट, माभेन र ग्रेडल, र जेनकिन्स जस्ता निरन्तर एकीकरण सर्भरहरू सहित साझा निर्माण उपकरणहरूसँग एकीकृत हुन्छ।

निर्भरता जाँचले NIST को राष्ट्रिय जोखिम डाटाबेस (NVD) बाट ज्ञात कमजोरीहरू भएका सबै कम्पोनेन्टहरू रिपोर्ट गर्दछ र NVD समाचार फिडहरूबाट डाटा अद्यावधिक गरिएको छ।

सौभाग्य देखि, यो सबै स्वचालित रूपमा उपकरणहरू प्रयोग गरेर गर्न सकिन्छ OWASP निर्भरता जाँच परियोजना वा व्यावसायिक कार्यक्रमहरू जस्तै। कालो बतख, JFrog Xray, Snyk, Nexus Lifecycle सोनाटाइप वा स्रोत क्लियर.

यी उपकरणहरू स्वचालित रूपमा खुला स्रोत निर्भरताहरू इन्भेन्टरी गर्न पाइपलाइनहरू निर्माणमा समावेश गर्न सकिन्छ, पुस्तकालयहरू र ज्ञात कमजोरीहरू भएका पुस्तकालयहरूको पुरानो संस्करणहरू पहिचान गर्न, र गम्भीर समस्याहरू पत्ता लागेमा निर्माण रद्द गर्नुहोस्।

OWASP निर्भरता जाँच

निर्भरता जाँच कसरी काम गर्दछ परीक्षण गर्न र प्रदर्शन गर्न, हामी यो भण्डार प्रयोग गर्दछौं निर्भरता-जाँच-उदाहरण.

HTML रिपोर्ट हेर्नको लागि, तपाईंले आफ्नो gitlab-runner मा nginx वेब सर्भर कन्फिगर गर्न आवश्यक छ।

न्यूनतम nginx कन्फिगरेसनको उदाहरण:

server {
    listen       9999;
    listen       [::]:9999;
    server_name  _;
    root         /home/gitlab-runner/builds;

    location / {
        autoindex on;
    }

    error_page 404 /404.html;
        location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }
}

सभाको अन्त्यमा तपाईंले यो तस्वीर देख्न सक्नुहुन्छ:

लिङ्क पछ्याउनुहोस् र निर्भरता जाँच रिपोर्ट हेर्नुहोस्।

पहिलो स्क्रिनसट सारांशको साथ रिपोर्टको शीर्ष भाग हो।

दोस्रो स्क्रिनसट विवरण CVE-2017-5638। यहाँ हामी CVE स्तर र शोषणको लिङ्कहरू देख्छौं।

तेस्रो स्क्रिनसट log4j-api-2.7.jar को विवरण हो। हामी CVE स्तर 7.5 र 9.8 देख्छौं।

चौथो स्क्रिनसट Commons-fileupload-1.3.2.jar को विवरण हो। हामी CVE स्तर 7.5 र 9.8 देख्छौं।

यदि तपाइँ gitlab पृष्ठहरू प्रयोग गर्न चाहनुहुन्छ भने, त्यसपछि यसले काम गर्दैन - एक पतित कार्यले कलाकृति सिर्जना गर्दैन।

यहाँ उदाहरण https://gitlab.com/anton_patsev/dependency-check-example-gitlab-pages.

आउटपुट निर्माण गर्नुहोस्: कुनै कलाकृतिहरू छैनन्, म html रिपोर्ट देख्दिन। तपाईंले कलाकृति प्रयास गर्नुपर्छ: सधैं

https://gitlab.com/anton_patsev/dependency-check-example-gitlab-pages/-/jobs/400004246

CVE कमजोरीहरूको स्तर विनियमित गर्दै

gitlab-ci.yaml फाइलमा सबैभन्दा महत्त्वपूर्ण रेखा:

mvn $MAVEN_CLI_OPTS test org.owasp:dependency-check-maven:check -DfailBuildOnCVSS=7

FailBuildOnCVSS प्यारामिटरको साथ तपाईंले प्रतिक्रिया दिन आवश्यक पर्ने CVE कमजोरीहरूको स्तर समायोजन गर्न सक्नुहुन्छ।

इन्टरनेटबाट NIST Vulnerability Database (NVD) डाउनलोड गर्दै

के तपाईंले याद गर्नुभएको छ कि NIST ले इन्टरनेटबाट NIST भल्नेरेबिलिटी डाटाबेस (NVD) लगातार डाउनलोड गर्छ:

डाउनलोड गर्न, तपाईं उपयोगिता प्रयोग गर्न सक्नुहुन्छ nist_data_mirror_golang

यसलाई स्थापना र सुरु गरौं।

yum -y install yum-plugin-copr
yum copr enable antonpatsev/nist_data_mirror_golang
yum -y install nist-data-mirror
systemctl start nist-data-mirror

Nist-data-mirror ले NIST JSON CVE लाई स्टार्टअपमा /var/www/repos/nist-data-mirror/ मा अपलोड गर्छ र हरेक २४ घण्टामा डाटा अपडेट गर्छ।

CVE JSON NIST डाउनलोड गर्न, तपाईंले nginx वेब सर्भर कन्फिगर गर्न आवश्यक छ (उदाहरणका लागि, तपाईंको gitlab-runner मा)।

न्यूनतम nginx कन्फिगरेसनको उदाहरण:

server {
    listen       12345;
    listen       [::]:12345;
    server_name  _;
    root         /var/www/repos/nist-data-mirror/;

    location / {
        autoindex on;
    }

    error_page 404 /404.html;
        location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }

}

mvn सुरु भएको ठाउँमा लामो लाइन नबनाउनको लागि, हामी प्यारामिटरहरूलाई छुट्टै चल DEPENDENCY_OPTS मा सार्नेछौं।

अन्तिम न्यूनतम कन्फिगरेसन .gitlab-ci.yml यस्तो देखिन्छ:

variables:
  MAVEN_OPTS: "-Dhttps.protocols=TLSv1.2 -Dmaven.repo.local=$CI_PROJECT_DIR/.m2/repository -Dorg.slf4j.simpleLogger.log.org.apache.maven.cli.transfer.Slf4jMavenTransferListener=WARN -Dorg.slf4j.simpleLogger.showDateTime=true -Djava.awt.headless=true"
  MAVEN_CLI_OPTS: "--batch-mode --errors --fail-at-end --show-version -DinstallAtEnd=true -DdeployAtEnd=true"
  DEPENDENCY_OPTS: "-DfailBuildOnCVSS=7 -DcveUrlModified=http://localhost:12345/nvdcve-1.1-modified.json.gz -DcveUrlBase=http://localhost:12345/nvdcve-1.1-%d.json.gz"

cache:
  paths:
    - .m2/repository

verify:
  stage: test
  script:
    - set +e
    - mvn $MAVEN_CLI_OPTS install org.owasp:dependency-check-maven:check $DEPENDENCY_OPTS || EXIT_CODE=$?
    - export PATH_WITHOUT_HOME=$(pwd | sed -e "s//home/gitlab-runner/builds//g")
    - echo "************************* URL Dependency-check-report.html *************************"
    - echo "http://$HOSTNAME:9999$PATH_WITHOUT_HOME/target/dependency-check-report.html"
    - set -e
    - exit ${EXIT_CODE}
  tags:
    - shell

DevOps र सुरक्षा बारे टेलिग्राम च्याट
टेलिग्राम च्यानल DevSecOps / SSDLC - सुरक्षित विकास

स्रोत: www.habr.com