Значај анализе софтверских компоненти независних произвођача (Софтваре Цомпоситион Аналисис - СЦА) у процесу развоја расте са објављивањем годишњих извештаја о рањивости библиотека отвореног кода, које објављују Синопсис, Сонатипе, Сник и Вхите Соурце. . Према извештају број идентификованих рањивости отвореног кода у 2019. години порастао је скоро 1.5 пута у односу на претходну годину, док компоненте отвореног кода користи 60% до 80% пројеката. На независној основи, СЦА процеси су засебна пракса ОВАСП САММ-а и БСИММ-а као индикатора зрелости, а у првој половини 2020. године, ОВАСП је објавио нови ОВАСП Стандард за верификацију софтверских компоненти (СЦВС), пружајући најбоље праксе за верификацију треће- партијске компоненте у ланцу снабдевања БИ.
Један од најилустративнијих случајева са Екуифаком у мају 2017. Непознати нападачи су добили информације о 143 милиона Американаца, укључујући пуна имена, адресе, бројеве социјалног осигурања и возачке дозволе. У 209 случајева документи су укључивали и податке о банкарским картицама жртава. До овог цурења дошло је као резултат искоришћавања критичне рањивости у Апацхе Струтс 000 (ЦВЕ-2-2017), док је исправка објављена још у марту 5638. Компанија је имала два месеца да инсталира ажурирање, али нико се тиме није замарао.
У овом чланку ће се разматрати питање избора алата за спровођење СЦА са становишта квалитета резултата анализе. Такође ће бити дато функционално поређење алата. Процес интеграције у ЦИ/ЦД и интеграцијске могућности биће остављени за наредне публикације. ОВАСП је представио широк спектар алата , али у тренутној рецензији ћемо се дотакнути само најпопуларније алатке отвореног кода Депенденци Цхецк, мало мање познате платформе отвореног кода Депенденци Трацк и Ентерприсе решења Сонатипе Некус ИК. Такође ћемо разумети како ова решења функционишу и упоредити резултате добијене за лажне позитивне резултате.
Принцип рада
је услужни програм (ЦЛИ, мавен, јенкинс модул, ант) који анализира датотеке пројекта, прикупља делове информација о зависностима (име пакета, гроупид, наслов спецификације, верзија...), гради ЦПЕ (Цоммон Платформ Енумератион) линију , УРЛ пакета (ПУРЛ) и идентификује пропусте за ЦПЕ/ПУРЛ из база података (НВД, Сонатипе ОСС Индек, НПМ Аудит АПИ...), након чега прави једнократни извештај у ХТМЛ, ЈСОН, КСМЛ формату...
Погледајмо како ЦПЕ изгледа:
cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other- dio: Индикација да се компонента односи на апликацију (а), оперативни систем (о), хардвер (х) (обавезно)
- Продавац: Назив произвођача производа (обавезно)
- Производ: Назив производа (обавезно)
- Верзија: Верзија компоненте (застарела ставка)
- Упдате: Ажурирање пакета
- едитион: Застарела верзија (застарела ставка)
- Језик: Језик дефинисан у РФЦ-5646
- СВ издање: Верзија софтвера
- Циљ СВ: Софтверско окружење у којем производ ради
- Таргет ХВ: Хардверско окружење у којем производ ради
- Остало: Информације о добављачу или производу
Пример ЦПЕ изгледа овако:
cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*
Линија значи да ЦПЕ верзија 2.3 описује компоненту апликације произвођача pivotal_software са насловом spring_framework верзија 3.0.0. Ако отворимо рањивост у НВД, можемо видети помињање овог ЦПЕ. Први проблем на који одмах треба да обратите пажњу је да ЦВЕ у НВД, према ЦПЕ, пријављује проблем у оквиру, а не у одређеној компоненти. То јест, ако су програмери чврсто везани за оквир, а идентификована рањивост не утиче на оне модуле које програмери користе, стручњак за безбедност ће на овај или онај начин морати да растави овај ЦВЕ и размисли о ажурирању.
УРЛ такође користе СЦА алати. Формат УРЛ адресе пакета је следећи:
scheme:type/namespace/name@version?qualifiers#subpath- Шема: Увек ће постојати „пкг“ који означава да је ово УРЛ пакета (обавезно)
- Тип: „Тип“ пакета или „протокол“ пакета, као што су мавен, нпм, нугет, гем, пипи итд. (обавезна ставка)
- Простор имена: Неки префикс имена, као што је ИД групе Мавен, власник Доцкер слике, корисник ГитХуб-а или организација. Опционо и зависи од врсте.
- ime: Назив пакета (обавезно)
- Верзија: Верзија пакета
- Квалификатори: Додатни квалификациони подаци за пакет, као што су ОС, архитектура, дистрибуција, итд. Опционо и специфично за тип.
- Подпут: Додатна путања у пакету у односу на корен пакета
На пример:
pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]— локална веб платформа која прихвата генерисану готову листу материјала (БОМ). и , односно готове спецификације о постојећим зависностима. Ово је КСМЛ датотека која описује зависности - име, хеш, УРЛ пакета, издавач, лиценца. Затим, Депенденци Трацк анализира БОМ, прегледа ЦВЕ-ове доступне идентификованим зависностима из базе података рањивости (НВД, Сонатипе ОСС Индек...), након чега гради графиконе, израчунава метрику, редовно ажурира податке о статусу рањивости компоненти. .
Пример како би БОМ могао да изгледа у КСМЛ формату:
<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
<components>
<component type="library">
<publisher>Apache</publisher>
<group>org.apache.tomcat</group>
<name>tomcat-catalina</name>
<version>9.0.14</version>
<hashes>
<hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
<hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
<hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
<hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
</hashes>
<licenses>
<license>
<id>Apache-2.0</id>
</license>
</licenses>
<purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
</component>
<!-- More components here -->
</components>
</bom>БОМ се може користити не само као улазни параметри за Депенденци Трацк, већ и за инвентаризацију софтверских компоненти у ланцу снабдевања, на пример, за обезбеђивање софтвера купцу. 2014. је чак предложен закон у Сједињеним Државама , који је навео да приликом куповине софтвера било која др. Институција мора да затражи БОМ да спречи употребу рањивих компоненти, али акт још није ступио на снагу.
Враћајући се на СЦА, Депенденци Трацк има готове интеграције са платформама за обавештења као што је Слацк, системима за управљање рањивостима као што је Кенна Сецурити. Такође је вредно рећи да Депенденци Трацк, између осталог, идентификује застареле верзије пакета и пружа информације о лиценцама (због подршке за СПДКС).
Ако говоримо конкретно о квалитету СЦА, онда постоји фундаментална разлика.
Депенденци Трацк не прихвата пројекат као улаз, већ БОМ. То значи да ако желимо да тестирамо пројекат, прво морамо да генеришемо бом.кмл, на пример користећи ЦицлонеДКС. Дакле, Депенденци Трацк директно зависи од ЦицлонеДКС. Истовремено, омогућава прилагођавање. Ово је написао тим ОЗОН-а за састављање БОМ датотека за Голанг пројекте за даље скенирање кроз Депенденци Трацк.
је комерцијално СЦА решење компаније Сонатипе, које је део Сонатипе екосистема, који такође укључује Некус Репоситори Манагер. Некус ИК може да прихвати као улаз и ратне архиве (за јава пројекте) преко веб интерфејса или АПИ-ја и БОМ, ако ваша организација још није прешла са ЦицлонеДКС на ново решење. За разлику од решења отвореног кода, ИК се не односи само на ЦП/ПУРЛ на идентификовану компоненту и одговарајућу рањивост у бази података, већ узима у обзир и сопствено истраживање, на пример, име рањиве функције или класе. О механизмима коефицијента интелигенције биће речи касније у анализи резултата.
Хајде да сумирамо неке од функционалних карактеристика, а такође размотримо подржане језике за анализу:
Језик
Некус ИК
Провера зависности
Депенденци Трацк
Јава
+
+
+
Ц / Ц ++
+
+
-
C#
+
+
-
.Нет
+
+
+
Ерланг
-
-
+
ЈаваСцрипт (НодеЈС)
+
+
+
PHP
+
+
+
Питон
+
+
+
рубин
+
+
+
Перл
-
-
-
Сцала
+
+
+
Објецтиве Ц
+
+
-
Брз
+
+
-
R
+
-
-
Go
+
+
+
Функционалност
Функционалност
Некус ИК
Провера зависности
Депенденци Трацк
Способност да се осигура да су компоненте које се користе у изворном коду проверене на лиценцирану чистоћу
+
-
+
Способност скенирања и анализирања рањивости и чистоће лиценце за Доцкер слике
+ Интеграција са Цлаир-ом
-
-
Могућност конфигурисања безбедносних политика за коришћење библиотека отвореног кода
+
-
-
Могућност скенирања складишта отвореног кода у потрази за рањивим компонентама
+ РубиГемс, Мавен, НПМ, Нугет, Пипи, Цонан, Бовер, Цонда, Го, п2, Р, Иум, Хелм, Доцкер, ЦоцоаПодс, Гит ЛФС
-
+ Хек, РубиГемс, Мавен, НПМ, Нугет, Пипи
Доступност специјализоване истраживачке групе
+
-
-
Операција затворене петље
+
+
+
Коришћење база података трећих страна
+ Затворена база података Сонатипе
+ Сонатипе ОСС, НПМ јавни саветници
+ Сонатипе ОСС, НПМ Публиц Адвисорс, РетиреЈС, ВулнДБ, подршка за сопствену базу података рањивости
Могућност филтрирања компоненти отвореног кода када покушавате да учитате у развојну петљу према конфигурисаним смерницама
+
-
-
Препоруке за исправљање рањивости, доступност линкова ка поправкама
+
+- (зависи од описа у јавним базама података)
+- (зависи од описа у јавним базама података)
Рангирање откривених рањивости према озбиљности
+
+
+
Модел приступа заснован на улози
+
-
+
ЦЛИ подршка
+
+
+- (само за ЦицлонеДКС)
Узорковање/сортирање рањивости према дефинисаним критеријумима
+
-
+
Контролна табла према статусу апликације
+
-
+
Генерисање извештаја у ПДФ формату
+
-
-
Генерисање извештаја у ЈСОНЦСВ формату
+
+
-
Подршка за руски језик
-
-
-
Интеграционе могућности
Интеграција
Некус ИК
Провера зависности
Депенденци Трацк
ЛДАП/Ацтиве Дирецтори интеграција
+
-
+
Интеграција са системом континуиране интеграције Бамбоо
+
-
-
Интеграција са системом континуиране интеграције ТеамЦити
+
-
-
Интеграција са системом континуиране интеграције ГитЛаб
+
+- (као додатак за ГитЛаб)
+
Интеграција са системом континуиране интеграције Јенкинс
+
+
+
Доступност додатака за ИДЕ
+ ИнтеллиЈ, Ецлипсе, Висуал Студио
-
-
Подршка за прилагођену интеграцију путем веб-сервиса (АПИ) алата
+
-
+
Провера зависности
Први почетак
Покренимо проверу зависности на намерно рањивој апликацији .
За ово ћемо користити :
mvn org.owasp:dependency-check-maven:checkКао резултат, зависност-цхецк-репорт.хтмл ће се појавити у циљном директоријуму.
Хајде да отворимо датотеку. Након збирних информација о укупном броју рањивости, можемо видети информације о рањивости са високим нивоом озбиљности и поузданости, са назнаком пакета, ЦПЕ-а и броја ЦВЕ-ова.
Следе детаљније информације, посебно на основу којих је донета одлука (докази), односно одређени БОМ.
Следи опис ЦПЕ, ПУРЛ и ЦВЕ. Иначе, препоруке за исправку нису укључене због њиховог одсуства у бази података НВД.
Да бисте систематски прегледали резултате скенирања, можете да конфигуришете Нгинк са минималним подешавањима или да добијене дефекте пошаљете систему за управљање дефектима који подржава конекторе за проверу зависности. На пример, Дефецт Дојо.
Депенденци Трацк
Инсталација
Депенденци Трацк је, заузврат, веб-базирана платформа са приказним графовима, тако да се овде не појављује горуће питање складиштења дефеката у решењу треће стране.
Подржане скрипте за инсталацију су: Доцкер, ВАР, Екецутабле ВАР.
Први почетак
Идемо до УРЛ-а покренуте услуге. Пријављујемо се преко админ/админ, мењамо логин и лозинку, а затим долазимо до контролне табле. Следећа ствар коју ћемо урадити је да креирамо пројекат за тестну апликацију у Јави у Почетна/Пројекти → Креирај пројекат . Узмимо за пример ДВЈА.
Пошто Депенденци Трацк може прихватити само БОМ као улаз, овај БОМ се мора преузети. Хајде да искористимо предност :
mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBomДобијамо бом.кмл и учитавамо датотеку у креирани пројекат ДВЈА → Зависности → Уплоад БОМ.
Идемо на Администрација → Анализатори. Разумемо да имамо омогућен само интерни анализатор, који укључује НВД. Хајде да повежемо и Сонатипе ОСС Индек.
Тако добијамо следећу слику за наш пројекат:
Такође на листи можете пронаћи једну рањивост применљиву на Сонатипе ОСС:
Главно разочарење било је то што Депенденци Трацк више не прихвата кмл извештаје Провере зависности. Најновије подржане верзије интеграције провере зависности биле су 1.0.0 - 4.0.2, док сам ја тестирао 5.3.2.
ovde је (И ) када је то још било могуће.
Некус ИК
Први почетак
Инсталација Некус ИК долази из архиве , али смо направили Доцкер слику за ове сврхе.
Након што се пријавите на конзолу, потребно је да креирате организацију и апликацију.
Као што видите, подешавање у случају ИК-а је нешто компликованије, јер такође треба да креирамо политике које су применљиве за различите „фазе“ (дев, буилд, стаге, релеасе). Ово је неопходно да би се блокирале рањиве компоненте док се крећу кроз цевовод ближе производњи или да би се блокирале чим уђу у Некус Репо када их преузму програмери.
Да бисте осетили разлику између отвореног кода и предузећа, хајде да извршимо исто скенирање кроз Некус ИК на исти начин кроз , претходно креирајући тестну апликацију у НекусИК интерфејсу dvja-test-and-compare:
mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>
Пратите УРЛ до генерисаног извештаја у ИК веб интерфејсу:
Овде можете видети сва кршења смерница која указују на различите нивое значаја (од информација до критичних за безбедност). Слово Д поред компоненте значи да је компонента Директна зависност, а слово Т поред компоненте значи да је компонента Транзитивна зависност, односно да је транзитивна.
Узгред, извештај из Сник-а извештава да је више од 70% рањивости отвореног кода откривених у Ноде.јс, Јави и Рубију у транзитивним зависностима.
Ако отворимо неко од кршења Некус ИК смерница, можемо видети опис компоненте, као и Графикон верзија, који приказује локацију тренутне верзије на временском графикону, као и у ком тренутку рањивост престаје да бити рањив. Висина свећа на графикону показује популарност коришћења ове компоненте.
Ако одете у одељак рањивости и проширите ЦВЕ, можете прочитати опис ове рањивости, препоруке за елиминацију, као и разлог зашто је ова компонента прекршена, односно присуство класе DiskFileitem.class.
Хајде да сумирамо само оне које се односе на Јава компоненте треће стране, уклањајући јс компоненте. У заградама наводимо број рањивости које су пронађене ван НВД-а.
Укупан Некус ИК:
- Скениране зависности: 62
- Рањиве зависности: 16
- Пронађене рањивости: 42 (8 сонатипе дб)
Укупна провера зависности:
- Скениране зависности: 47
- Рањиве зависности: 13
- Пронађене рањивости: 91 (14 сонатипе осс)
Тотална евиденција зависности:
- Скениране зависности: 59
- Рањиве зависности: 10
- Пронађене рањивости: 51 (1 сонатипе осс)
У наредним корацима ћемо анализирати добијене резултате и открити која од ових рањивости је прави недостатак, а која лажно позитивна.
Одрицање од одговорности
Ова рецензија није неоспорна истина. Аутор није имао за циљ да издвоји посебан инструмент на позадини других. Сврха прегледа је била да се покажу механизми рада СЦА алата и начини провере њихових резултата.
Поређење резултата
Услови:
Лажно позитиван за рањивост компоненти треће стране је:
- ЦВЕ неусклађеност са идентификованом компонентом
- На пример, ако је рањивост идентификована у оквиру струтс2, а алатка указује на компоненту оквира струтс-тилес, на коју се ова рањивост не односи, онда је ово лажно позитивно
- ЦВЕ неподударање са идентификованом верзијом компоненте
- На пример, рањивост је везана за верзију Питхон-а > 3.5 и алат означава верзију 2.7 као рањиву - ово је лажно позитивно, пошто се у ствари рањивост односи само на грану производа 3.к
- Дупликат ЦВЕ
- На пример, ако СЦА специфицира ЦВЕ који омогућава РЦЕ, онда СЦА специфицира ЦВЕ за ту исту компоненту која се примењује на Цисцо производе на које утиче тај РЦЕ. У овом случају ће бити лажно позитиван.
- На пример, ЦВЕ је пронађен у компоненти спринг-веб, након чега СЦА указује на исти ЦВЕ у другим компонентама Спринг Фрамеворк-а, док ЦВЕ нема никакве везе са другим компонентама. У овом случају ће бити лажно позитиван.
Предмет студије био је пројекат отвореног кода ДВЈА. Студија је укључивала само јава компоненте (без јс).
Резиме резултата
Идемо директно на резултате ручног прегледа идентификованих рањивости. Комплетан извештај за сваки ЦВЕ може се наћи у Додатку.
Резиме резултата за све рањивости:
Параметар
Некус ИК
Провера зависности
Депенденци Трацк
Укупне идентификоване рањивости
42
91
51
Нетачно идентификоване рањивости (лажно позитивно)
КСНУМКС (КСНУМКС%)
КСНУМКС (КСНУМКС%)
КСНУМКС (КСНУМКС%)
Нису пронађене релевантне рањивости (лажно негативно)
10
20
27
Резиме резултата по компонентама:
Параметар
Некус ИК
Провера зависности
Депенденци Трацк
Укупно идентификоване компоненте
62
47
59
Укупно рањиве компоненте
16
13
10
Нетачно идентификоване рањиве компоненте (лажно позитивно)
1
5
0
Нетачно идентификоване рањиве компоненте (лажно позитивно)
0
6
6
Хајде да направимо визуелне графиконе да проценимо однос лажно позитивних и лажно негативних у укупном броју рањивости. Компоненте су означене хоризонтално, а рањивости идентификоване у њима су означене вертикално.
Поређења ради, сличну студију спровео је тим Сонатипе тестирајући пројекат од 1531 компоненте користећи ОВАСП проверу зависности. Као што видимо, однос буке и тачних одговора је упоредив са нашим резултатима.
Извор:
Хајде да погледамо неке ЦВЕ из наших резултата скенирања да бисмо разумели разлог за ове резултате.
више
№ КСНУМКС
Хајде да прво погледамо неке занимљиве тачке о Сонатипе Некус ИК.
Некус ИК указује на проблем са десеријализацијом са могућношћу да се више пута изводи РЦЕ у Спринг Фрамеворк-у. ЦВЕ-2016-1000027 у спринг-веб:3.0.5 први пут, и ЦВЕ-2011-2894 у спринг-цонтект:3.0.5 и спринг-цоре:3.0.5. У почетку се чини да постоји дуплирање рањивости у више ЦВЕ-ова. Јер, ако погледате ЦВЕ-2016-1000027 и ЦВЕ-2011-2894 у бази података НВД, чини се да је све очигледно
Компонента
Рањивост
спринг-веб:3.0.5
ЦВЕ-КСНУМКС-КСНУМКС
спринг-цонтект:3.0.5
ЦВЕ-КСНУМКС-КСНУМКС
спринг-цоре:3.0.5
ЦВЕ-КСНУМКС-КСНУМКС
Опис од НВД:
Опис од НВД:
Сам ЦВЕ-2011-2894 је прилично познат. У извештају овај ЦВЕ је препознат као један од најчешћих. Описа за ЦВЕ-2016-100027, у принципу, има мало у НВД-у, и чини се да је применљив само за Спринг Фрамеворк 4.1.4. Хајде да погледамо и ту све постаје мање-више јасно. Од Разумемо да поред рањивости у RemoteInvocationSerializingExporter у ЦВЕ-2011-2894, рањивост је примећена у HttpInvokerServiceExporter. Ево шта нам Некус ИК каже:
Међутим, у НВД-у не постоји ништа слично, због чега провера зависности и праћење зависности добијају лажно негативне.
Такође из описа ЦВЕ-2011-2894 може се разумети да је рањивост заиста присутна иу спринг-цонтект:3.0.5 и спринг-цоре:3.0.5. Потврда за ово се може наћи у чланку особе која је пронашла ову рањивост.
№ КСНУМКС
Компонента
Рањивост
Резултат
струтс2-цоре:2.3.30
ЦВЕ-КСНУМКС-КСНУМКС
ЛАЖ
Ако проучимо рањивост ЦВЕ-2016-4003, схватићемо да је исправљена у верзији 2.3.28, међутим, Некус ИК нам то пријављује. У опису рањивости постоји напомена:
Односно, рањивост постоји само у вези са застарелом верзијом ЈРЕ, на коју су одлучили да нас упозоре. Ипак, ово сматрамо лажно позитивним, мада не и најгорим.
№ КСНУМКС
Компонента
Рањивост
Резултат
кворк-цоре:2.3.30
ЦВЕ-КСНУМКС-КСНУМКС
ТАЧНО
кворк-цоре:2.3.30
ЦВЕ-КСНУМКС-КСНУМКС
ЛАЖ
Ако погледамо описе ЦВЕ-2017-9804 и ЦВЕ-2017-7672, схватићемо да је проблем URLValidator class, са ЦВЕ-2017-9804 који потиче из ЦВЕ-2017-7672. Присуство друге рањивости не носи никакво корисно оптерећење осим чињенице да је њена озбиљност порасла на Високу, тако да је можемо сматрати непотребном буком.
Све у свему, нису пронађени други лажно позитивни резултати за Некус ИК.
№ КСНУМКС
Постоји неколико ствари по којима се ИК издваја од других решења.
Компонента
Рањивост
Резултат
спринг-веб:3.0.5
ЦВЕ-КСНУМКС-КСНУМКС
ТАЧНО
ЦВЕ у НВД наводи да се примењује само на верзије 5.2.к пре 5.2.3, 5.1.к пре 5.1.13 и верзије 5.0.к пре 5.0.16, међутим, ако погледамо ЦВЕ опис у Некус ИК , онда ћемо видети следеће:
Саветодавно обавештење о одступању: Сонатипе безбедносни истраживачки тим је открио да је ова рањивост уведена у верзију 3.0.2.РЕЛЕАСЕ, а не у 5.0.к као што је наведено у упозорењу.
Након тога следи ПоЦ за ову рањивост, у којој се наводи да је присутна у верзији 3.0.5.
Лажно негативно се шаље на проверу зависности и праћење зависности.
№ КСНУМКС
Погледајмо лажне позитивне резултате за проверу зависности и праћење зависности.
Провера зависности се истиче по томе што одражава оне ЦВЕ-ове који се примењују на цео оквир у НВД-у на оне компоненте на које се ови ЦВЕ-и не примењују. Ово се односи на ЦВЕ-2012-0394, ЦВЕ-2013-2115, ЦВЕ-2014-0114, ЦВЕ-2015-0899, ЦВЕ-2015-2992, ЦВЕ-2016-1181, ЦВЕ-2016-1182, који се повећава ” на струтс-таглиб:1.3.8 и струтс-тилес-1.3.8. Ове компоненте немају никакве везе са оним што је описано у ЦВЕ-у – обрада захтева, валидација странице и тако даље. То је због чињенице да је оно што је заједничко овим ЦВЕ-овима и компонентама само оквир, због чега је Депенденци Цхецк сматрао да је то рањивост.
Иста ситуација је са спринг-тк:3.0.5, а слична ситуација са струтс-цоре:1.3.8. За струтс-цоре, Депенденци Цхецк и Депенденци Трацк су пронашли много рањивости које су заправо применљиве на струтс2-цоре, што је у суштини посебан оквир. У овом случају, Некус ИК је исправно разумео слику и у ЦВЕ-овима које је издао је указивало да је струтс-цоре дошао до краја живота и да је неопходно прећи на струтс2-цоре.
№ КСНУМКС
У неким ситуацијама, неправедно је тумачити очигледну грешку провере зависности и праћења зависности. Конкретно ЦВЕ-2013-4152, ЦВЕ-2013-6429, ЦВЕ-2013-6430, ЦВЕ-2013-7315, ЦВЕ-2014-0054, ЦВЕ-2014-0225, ЦВЕ-2014-0225 и провера зависности приписано спринг-цоре:3.0.5 заправо припада спринг-веб:3.0.5. У исто време, неке од ових ЦВЕ-ова је такође пронашао Некус ИК, међутим, ИК их је исправно идентификовао у другој компоненти. Пошто ове рањивости нису пронађене у спринг-цоре-у, не може се тврдити да оне у принципу нису у оквиру и алати отвореног кода су с правом указали на ове рањивости (само им је мало недостајало).
Налази
Као што видимо, одређивање поузданости идентификованих рањивости ручним прегледом не даје једнозначне резултате, због чега се јављају контроверзна питања. Резултати су да Некус ИК решење има најмању стопу лажних позитивних резултата и највећу прецизност.
Пре свега, ово је због чињенице да је Сонатипе тим проширио опис за сваку ЦВЕ рањивост из НВД-а у својим базама података, указујући на рањивости за одређену верзију компоненти све до класе или функције, спроводећи додатна истраживања (нпр. , провера рањивости на старијим верзијама софтвера).
Важан утицај на резултате имају и оне рањивости које нису биле укључене у НВД, али су ипак присутне у бази података Сонатипе са ознаком СОНАТИПЕ. Према извештају 45% откривених рањивости отвореног кода није пријављено НВД-у. Према бази података ВхитеСоурце, само 29% свих рањивости отвореног кода пријављених ван НВД-а заврши тамо објављено, због чега је важно тражити рањивости иу другим изворима.
Као резултат тога, провера зависности производи много буке, недостају неке рањиве компоненте. Депенденци Трацк производи мање буке и детектује велики број компоненти, што визуелно не штети очима у веб интерфејсу.
Међутим, пракса показује да би отворени код требало да постане први корак ка зрелом ДевСецОпс-у. Прва ствар о којој треба да размишљате када интегришете СЦА у развој су процеси, односно размишљање заједно са менаџментом и сродним одељењима о томе како би идеални процеси требало да изгледају у вашој организацији. Може се испоставити да ће за вашу организацију у почетку Депенденци Цхецк или Депенденци Трацк покрити све пословне потребе, а Ентерприсе решења ће бити логичан наставак због све веће сложености апликација које се развијају.
Додатак А: Резултати компоненти
Симболи:
- Високи—високи и критични нивои рањивости у компоненти
- Средњи — Рањивости средњег нивоа критичности у компоненти
- ТАЧНО — Истина позитивно питање
- ФАЛСЕ — Лажно позитивно питање
Компонента
Некус ИК
Провера зависности
Депенденци Трацк
Резултат
дом4ј: 1.6.1
висок
висок
висок
ТАЧНО
лог4ј-цоре: 2.3
висок
висок
висок
ТАЧНО
лог4ј: 1.2.14
висок
висок
-
ТАЧНО
Цоммонс-цолецтионс:3.1
висок
висок
висок
ТАЧНО
цоммонс-филеуплоад:1.3.2
висок
висок
висок
ТАЧНО
цоммонс-беанутилс:1.7.0
висок
висок
висок
ТАЧНО
цоммонс-цодец:1:10
Средњи
-
-
ТАЧНО
мискл-цоннецтор-јава:5.1.42
висок
висок
висок
ТАЧНО
спринг-екпрессион:3.0.5
висок
компонента није пронађена
ТАЧНО
спринг-веб:3.0.5
висок
компонента није пронађена
висок
ТАЧНО
спринг-цонтект:3.0.5
Средњи
компонента није пронађена
-
ТАЧНО
спринг-цоре:3.0.5
Средњи
висок
висок
ТАЧНО
струтс2-цонфиг-бровсер-плугин:2.3.30
Средњи
-
-
ТАЧНО
спринг-тк:3.0.5
-
висок
-
ЛАЖ
струтс-цоре:1.3.8
висок
висок
висок
ТАЧНО
кворк-цоре: 2.3.30
висок
-
-
ТАЧНО
струтс2-цоре: 2.3.30
висок
висок
висок
ТАЧНО
струтс-таглиб:1.3.8
-
висок
-
ЛАЖ
подупирачи-плочице-1.3.8
-
висок
-
ЛАЖ
Додатак Б: Резултати рањивости
Симболи:
- Високи—високи и критични нивои рањивости у компоненти
- Средњи — Рањивости средњег нивоа критичности у компоненти
- ТАЧНО — Истина позитивно питање
- ФАЛСЕ — Лажно позитивно питање
Компонента
Некус ИК
Провера зависности
Депенденци Трацк
Озбиљност
Резултат
Коментар
дом4ј: 1.6.1
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ТАЧНО
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ТАЧНО
лог4ј-цоре: 2.3
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ТАЧНО
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
низак
ТАЧНО
лог4ј: 1.2.14
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ТАЧНО
-
ЦВЕ-КСНУМКС-КСНУМКС
-
низак
ТАЧНО
СОНАТИПЕ-2010-0053
-
-
висок
ТАЧНО
Цоммонс-цолецтионс:3.1
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ЛАЖ
Дупликати РЦЕ(ОССИНДЕКС)
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ЛАЖ
Дупликати РЦЕ(ОССИНДЕКС)
СОНАТИПЕ-2015-0002
РЦЕ (ОССИНДЕКС)
РЦЕ(ОССИНДЕКС)
висок
ТАЧНО
цоммонс-филеуплоад:1.3.2
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ТАЧНО
СОНАТИПЕ-2014-0173
-
-
Средњи
ТАЧНО
цоммонс-беанутилс:1.7.0
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ТАЧНО
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ЛАЖ
Рањивост се односи само на верзије 1.9.2+
цоммонс-цодец:1:10
СОНАТИПЕ-2012-0050
-
-
Средњи
ТАЧНО
мискл-цоннецтор-јава:5.1.42
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ТАЧНО
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ТАЧНО
-
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ЛАЖ
Иста рањивост као ЦВЕ-2019-2692, али са напоменом „напади могу значајно утицати на додатне производе“
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
Није релевантно за мискл-цоннецтор-јава
-
ЦВЕ-КСНУМКС-КСНУМКС
-
низак
ЛАЖ
Дупликат ЦВЕ-2020-2934
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ТАЧНО
спринг-екпрессион:3.0.5
ЦВЕ-КСНУМКС-КСНУМКС
компонента није пронађена
-
висок
ТАЧНО
ЦВЕ-КСНУМКС-КСНУМКС
-
-
Средњи
ТАЧНО
спринг-веб:3.0.5
ЦВЕ-КСНУМКС-КСНУМКС
компонента није пронађена
-
висок
ТАЧНО
ЦВЕ-КСНУМКС-КСНУМКС
-
ЦВЕ-КСНУМКС-КСНУМКС
висок
ТАЧНО
ЦВЕ-КСНУМКС-КСНУМКС
-
-
висок
ТАЧНО
-
-
ЦВЕ-КСНУМКС-КСНУМКС
Средњи
ТАЧНО
ЦВЕ-КСНУМКС-КСНУМКС
-
-
висок
ТАЧНО
ЦВЕ-КСНУМКС-КСНУМКС
-
-
висок
ТАЧНО
Илустративан пример у корист ИК-а: „Сонатипе безбедносни истраживачки тим је открио да је ова рањивост уведена у верзији 3.0.2.РЕЛЕАСЕ, а не у 5.0.к као што је наведено у савету.“
ЦВЕ-КСНУМКС-КСНУМКС
-
-
Средњи
ТАЧНО
ЦВЕ-КСНУМКС-КСНУМКС
-
ЦВЕ-КСНУМКС-КСНУМКС
Средњи
ТАЧНО
ЦВЕ-КСНУМКС-КСНУМКС
-
-
Средњи
ТАЧНО
спринг-цонтект:3.0.5
ЦВЕ-КСНУМКС-КСНУМКС
компонента није пронађена
-
Средњи
ТАЧНО
спринг-цоре:3.0.5
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ТАЧНО
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
Средњи
ТАЧНО
-
-
ЦВЕ-КСНУМКС-КСНУМКС
Средњи
ЛАЖ
Дупликат исте рањивости у спринг-веб-у
-
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ЛАЖ
Рањивост се односи на компоненту спринг-веб
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
Средњи
ЛАЖ
Рањивост се односи на компоненту спринг-веб
-
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ЛАЖ
Рањивост се односи на компоненту спринг-веб
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
Средњи
ЛАЖ
СПЛИТ од ЦВЕ-2013-4152. + Рањивост се односи на компоненту спринг-веб
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
Средњи
ЛАЖ
Рањивост се односи на компоненту спринг-веб
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
Рањивост се односи на компоненту спринг-веб
-
-
ЦВЕ-КСНУМКС-КСНУМКС
висок
ЛАЖ
Дупликат исте рањивости у спринг-веб-у
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
Средњи
ЛАЖ
Рањивост се односи на компоненту спринг-веб-мвц
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
Средњи
ЛАЖ
Рањивост се односи на компоненту спринг-веб-мвц
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ЛАЖ
Рањивост се односи на компоненту спринг-веб-мвц
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ЛАЖ
За пролећни израз/пролећне поруке
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
Средњи
ЛАЖ
Рањивост се односи на компоненту спринг-веб-мвц
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ТАЧНО
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-2014-3578 (ОССИНДЕКС)
ЦВЕ-КСНУМКС-КСНУМКС
Средњи
ТАЧНО
СОНАТИПЕ-2015-0327
-
-
низак
ТАЧНО
струтс2-цонфиг-бровсер-плугин:2.3.30
СОНАТИПЕ-2016-0104
-
-
Средњи
ТАЧНО
спринг-тк:3.0.5
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
Рањивост није специфична за спринг-тк
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
Рањивост није специфична за спринг-тк
-
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ЛАЖ
Рањивост није специфична за спринг-тк
-
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ЛАЖ
Рањивост није специфична за спринг-тк
-
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ЛАЖ
Рањивост није специфична за спринг-тк
-
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ЛАЖ
Рањивост није специфична за спринг-тк
-
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ЛАЖ
Рањивост није специфична за спринг-тк
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
Рањивост није специфична за спринг-тк
-
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ЛАЖ
Рањивост није специфична за спринг-тк
-
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ЛАЖ
Рањивост није специфична за спринг-тк
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
Рањивост није специфична за спринг-тк
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
Рањивост није специфична за спринг-тк
-
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ЛАЖ
Рањивост није специфична за спринг-тк
-
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ЛАЖ
Рањивост није специфична за спринг-тк
струтс-цоре:1.3.8
-
ЦВЕ-2011-5057 (ОССИНДЕКС)
Средњи
ФАСЛЕ
Рањивост на Струтс 2
-
ЦВЕ-2012-0391 (ОССИНДЕКС)
ЦВЕ-КСНУМКС-КСНУМКС
висок
ЛАЖ
Рањивост на Струтс 2
-
ЦВЕ-2014-0094 (ОССИНДЕКС)
ЦВЕ-КСНУМКС-КСНУМКС
Средњи
ЛАЖ
Рањивост на Струтс 2
-
ЦВЕ-2014-0113 (ОССИНДЕКС)
ЦВЕ-КСНУМКС-КСНУМКС
висок
ЛАЖ
Рањивост на Струтс 2
ЦВЕ-КСНУМКС-КСНУМКС
3ВЕ-2016-1182
-
висок
ТАЧНО
-
-
ЦВЕ-КСНУМКС-КСНУМКС
Средњи
ЛАЖ
Рањивост на Струтс 2
-
ЦВЕ-2012-0392 (ОССИНДЕКС)
ЦВЕ-КСНУМКС-КСНУМКС
висок
ЛАЖ
Рањивост на Струтс 2
-
ЦВЕ-2012-0393 (ОССИНДЕКС)
ЦВЕ-КСНУМКС-КСНУМКС
Средњи
ЛАЖ
Рањивост на Струтс 2
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ТАЧНО
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
Средњи
ЛАЖ
Рањивост на Струтс 2
-
ЦВЕ-2012-0838 (ОССИНДЕКС)
ЦВЕ-КСНУМКС-КСНУМКС
висок
ЛАЖ
Рањивост на Струтс 2
-
ЦВЕ-2013-1965 (ОССИНДЕКС)
ЦВЕ-КСНУМКС-КСНУМКС
висок
ЛАЖ
Рањивост на Струтс 2
-
ЦВЕ-2013-1966 (ОССИНДЕКС)
ЦВЕ-КСНУМКС-КСНУМКС
висок
ФАСЛЕ
Рањивост на Струтс 2
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ФАСЛЕ
Рањивост на Струтс 2
-
ЦВЕ-2013-2134 (ОССИНДЕКС)
ЦВЕ-КСНУМКС-КСНУМКС
висок
ФАСЛЕ
Рањивост на Струтс 2
-
ЦВЕ-2013-2135 (ОССИНДЕКС)
ЦВЕ-КСНУМКС-КСНУМКС
висок
ФАСЛЕ
Рањивост на Струтс 2
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ТАЧНО
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
Средњи
ЛАЖ
Рањивост на Струтс 2
-
ЦВЕ-2016-0785 (ОССИНДЕКС)
ЦВЕ-КСНУМКС-КСНУМКС
висок
ЛАЖ
Рањивост на Струтс 2
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ТАЧНО
-
ЦВЕ-2016-4003 (ОССИНДЕКС)
ЦВЕ-КСНУМКС-КСНУМКС
висок
ЛАЖ
Рањивост на Струтс 2
кворк-цоре:2.3.30
ЦВЕ-КСНУМКС-КСНУМКС
-
-
висок
ТАЧНО
СОНАТИПЕ-2017-0173
-
-
висок
ТАЧНО
ЦВЕ-КСНУМКС-КСНУМКС
-
-
висок
ЛАЖ
Дупликат ЦВЕ-2017-9804
СОНАТИПЕ-2016-0127
-
-
висок
ТАЧНО
струтс2-цоре:2.3.30
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ТАЧНО
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ТАЧНО
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ТАЧНО
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
Дупликат ЦВЕ-2018-1327
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ТАЧНО
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ТАЧНО
ЦВЕ-КСНУМКС-КСНУМКС
-
-
Средњи
ЛАЖ
Применљиво на Апацхе Струтс 2.к до 2.3.28, што је верзија 2.3.30. Међутим, на основу описа, ЦВЕ важи за било коју верзију Струтс 2 ако се користи ЈРЕ 1.7 или мање. Очигледно су одлучили да нас преосигурају овде, али више личи на ЛАЖ
-
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ТАЧНО
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ТАЧНО
Иста рањивост коју су Екуифак хакери искористили 2017
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ТАЧНО
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
ЦВЕ-КСНУМКС-КСНУМКС
висок
ТАЧНО
струтс-таглиб:1.3.8
-
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ЛАЖ
За струтс2-цоре
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
За струтс2-цоре
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
За цоммонс-беанутилс
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
Не односи се на таглиб
-
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ЛАЖ
Односи се на струтс2-цоре
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
Не односи се на таглиб
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
Не односи се на таглиб
подупирачи-плочице-1.3.8
-
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ЛАЖ
За струтс2-цоре
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
За струтс2-цоре
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
Под цоммонс-беанутилс
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
Не односи се на плочице
-
ЦВЕ-КСНУМКС-КСНУМКС
-
Средњи
ЛАЖ
За струтс2-цоре
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
Не односи се на таглиб
-
ЦВЕ-КСНУМКС-КСНУМКС
-
висок
ЛАЖ
Не односи се на таглиб
Извор: ввв.хабр.цом