DevSecOps: SCA యొక్క ఆపరేషన్ మరియు పోలిక సూత్రాలు. ప్రథమ భాగము

ఓపెన్ సోర్స్ లైబ్రరీల దుర్బలత్వాలపై వార్షిక నివేదికల విడుదలతో అభివృద్ధి ప్రక్రియలో థర్డ్-పార్టీ సాఫ్ట్‌వేర్ భాగాల (సాఫ్ట్‌వేర్ కంపోజిషన్ అనాలిసిస్ - SCA) విశ్లేషణ యొక్క ప్రాముఖ్యత పెరుగుతోంది, వీటిని Synopsys, Sonatype, Snyk మరియు వైట్ సోర్స్ ప్రచురించాయి. . నివేదిక ప్రకారం ఓపెన్ సోర్స్ సెక్యూరిటీ వల్నరబిలిటీస్ స్టేట్ 2020 2019లో గుర్తించబడిన ఓపెన్ సోర్స్ దుర్బలత్వాల సంఖ్య మునుపటి సంవత్సరంతో పోలిస్తే దాదాపు 1.5 రెట్లు పెరిగింది, అయితే ఓపెన్ సోర్స్ భాగాలు 60% నుండి 80% ప్రాజెక్ట్‌లు ఉపయోగించబడుతున్నాయి. స్వతంత్ర ప్రాతిపదికన, SCA ప్రక్రియలు పరిపక్వతకు సూచికగా OWASP SAMM మరియు BSIMM యొక్క ప్రత్యేక అభ్యాసం, మరియు 2020 మొదటి సగంలో, OWASP కొత్త OWASP సాఫ్ట్‌వేర్ కాంపోనెంట్ వెరిఫికేషన్ స్టాండర్డ్ (SCVS)ని విడుదల చేసింది, ఇది మూడవదిగా ధృవీకరించడానికి ఉత్తమ అభ్యాసాలను అందిస్తుంది. సరఫరా గొలుసు BYలో పార్టీ భాగాలు.

అత్యంత వివరణాత్మక కేసుల్లో ఒకటి జరిగింది మే 2017లో ఈక్విఫాక్స్‌తో. పూర్తి పేర్లు, చిరునామాలు, సామాజిక భద్రత నంబర్లు మరియు డ్రైవింగ్ లైసెన్స్‌లతో సహా 143 మిలియన్ల అమెరికన్ల గురించి తెలియని దాడి చేసేవారు సమాచారాన్ని పొందారు. 209 కేసులలో, పత్రాలలో బాధితుల బ్యాంకు కార్డుల గురించిన సమాచారం కూడా ఉంది. Apache Struts 000 (CVE-2-2017)లో క్లిష్టమైన దుర్బలత్వం యొక్క దోపిడీ ఫలితంగా ఈ లీక్ సంభవించింది, అయితే ఈ పరిష్కారం మార్చి 5638లో విడుదల చేయబడింది. అప్‌డేట్‌ను ఇన్‌స్టాల్ చేయడానికి కంపెనీకి రెండు నెలల సమయం ఉంది, కానీ ఎవరూ దానితో బాధపడలేదు.

విశ్లేషణ ఫలితాల నాణ్యత కోణం నుండి SCA నిర్వహించడం కోసం ఒక సాధనాన్ని ఎంచుకునే సమస్యను ఈ వ్యాసం చర్చిస్తుంది. సాధనాల యొక్క క్రియాత్మక పోలిక కూడా అందించబడుతుంది. CI/CD మరియు ఇంటిగ్రేషన్ సామర్థ్యాలకు అనుసంధానించే ప్రక్రియ తదుపరి ప్రచురణల కోసం వదిలివేయబడుతుంది. OWASP ద్వారా విస్తృత శ్రేణి సాధనాలు అందించబడ్డాయి మీ సైట్‌లో, కానీ ప్రస్తుత సమీక్షలో మేము అత్యంత జనాదరణ పొందిన ఓపెన్ సోర్స్ టూల్ డిపెండెన్సీ చెక్, కొంచెం తక్కువగా తెలిసిన ఓపెన్ సోర్స్ ప్లాట్‌ఫారమ్ డిపెండెన్సీ ట్రాక్ మరియు ఎంటర్‌ప్రైజ్ సొల్యూషన్ Sonatype Nexus IQని మాత్రమే టచ్ చేస్తాము. ఈ పరిష్కారాలు ఎలా పనిచేస్తాయో కూడా మేము అర్థం చేసుకుంటాము మరియు తప్పుడు పాజిటివ్‌ల కోసం పొందిన ఫలితాలను పోల్చి చూస్తాము.

ఇది ఎలా పనిచేస్తుంది

డిపెండెన్సీ చెక్ ప్రాజెక్ట్ ఫైల్‌లను విశ్లేషించే, డిపెండెన్సీల (ప్యాకేజీ పేరు, గ్రూపిడ్, స్పెసిఫికేషన్ టైటిల్, వెర్షన్...) గురించి సమాచారాన్ని సేకరిస్తూ, CPE (కామన్ ప్లాట్‌ఫారమ్ ఎన్యూమరేషన్) లైన్‌ను రూపొందించే యుటిలిటీ (CLI, మావెన్, జెంకిన్స్ మాడ్యూల్, యాంట్) , ప్యాకేజీ URL ( PURL) మరియు డేటాబేస్ (NVD, సోనాటైప్ OSS ఇండెక్స్, NPM ఆడిట్ API...) నుండి CPE/PURL కోసం దుర్బలత్వాలను గుర్తిస్తుంది, ఆ తర్వాత ఇది HTML, JSON, XML ఫార్మాట్‌లో ఒక-పర్యాయ నివేదికను రూపొందించింది...

CPE ఎలా ఉంటుందో చూద్దాం:

cpe:2.3:part:vendor:product:version:update:edition:language:sw_edition:target_sw:target_hw:other

• పార్ట్: కాంపోనెంట్ అప్లికేషన్ (a), ఆపరేటింగ్ సిస్టమ్ (o), హార్డ్‌వేర్ (h) (అవసరం)కి సంబంధించినదని సూచన
• Vendor: ఉత్పత్తి తయారీదారు పేరు (అవసరం)
• ఉత్పత్తి: ఉత్పత్తి పేరు (అవసరం)
• వెర్షన్: కాంపోనెంట్ వెర్షన్ (నిరుపయోగమైన అంశం)
• నవీకరణ: ప్యాకేజీ నవీకరణ
• ఎడిషన్: లెగసీ వెర్షన్ (విస్మరించబడిన అంశం)
• భాష: RFC-5646లో భాష నిర్వచించబడింది
• SW ఎడిషన్: సాఫ్ట్‌వేర్ వెర్షన్
• లక్ష్యం SW: ఉత్పత్తి పనిచేసే సాఫ్ట్‌వేర్ వాతావరణం
• లక్ష్యం HW: ఉత్పత్తి పనిచేసే హార్డ్‌వేర్ వాతావరణం
• ఇతర: సరఫరాదారు లేదా ఉత్పత్తి సమాచారం

ఒక ఉదాహరణ CPE ఇలా కనిపిస్తుంది:

cpe:2.3:a:pivotal_software:spring_framework:3.0.0:*:*:*:*:*:*:*

లైన్ అంటే CPE వెర్షన్ 2.3 తయారీదారు నుండి అప్లికేషన్ కాంపోనెంట్‌ను వివరిస్తుంది pivotal_software పేరుతో spring_framework వెర్షన్ 3.0.0. మేము ఒక దుర్బలత్వాన్ని తెరిస్తే CVE-2014-0225 NVDలో, ఈ CPE గురించిన ప్రస్తావన మనం చూడవచ్చు. మీరు వెంటనే శ్రద్ధ వహించాల్సిన మొదటి సమస్య ఏమిటంటే, CPE ప్రకారం, NVDలోని CVE, ఫ్రేమ్‌వర్క్‌లో సమస్యను నివేదిస్తుంది మరియు నిర్దిష్ట భాగంలో కాదు. అంటే, డెవలపర్‌లు ఫ్రేమ్‌వర్క్‌తో గట్టిగా ముడిపడి ఉంటే మరియు గుర్తించబడిన దుర్బలత్వం డెవలపర్‌లు ఉపయోగించే మాడ్యూళ్లను ప్రభావితం చేయకపోతే, భద్రతా నిపుణుడు ఒక విధంగా లేదా మరొక విధంగా ఈ CVEని విడదీయాలి మరియు నవీకరించడం గురించి ఆలోచించాలి.

URL SCA సాధనాల ద్వారా కూడా ఉపయోగించబడుతుంది. ప్యాకేజీ URL ఆకృతి క్రింది విధంగా ఉంది:

scheme:type/namespace/name@version?qualifiers#subpath

• పథకం: ఇది ప్యాకేజీ URL అని సూచించే 'pkg' ఎల్లప్పుడూ ఉంటుంది (అవసరం)
• రకం: మావెన్, npm, nuget, gem, pypi మొదలైన ప్యాకేజీ యొక్క "రకం" లేదా ప్యాకేజీ యొక్క "ప్రోటోకాల్". (అవసరమైన వస్తువు)
• నేమ్‌స్పేస్: Maven సమూహం ID, డాకర్ చిత్రం యజమాని, GitHub వినియోగదారు లేదా సంస్థ వంటి కొన్ని పేరు ఉపసర్గ. ఐచ్ఛికం మరియు రకాన్ని బట్టి ఉంటుంది.
• పేరు: ప్యాకేజీ పేరు (అవసరం)
• వెర్షన్: ప్యాకేజీ వెర్షన్
• అర్హతలు: OS, ఆర్కిటెక్చర్, డిస్ట్రిబ్యూషన్ మొదలైన ప్యాకేజీకి సంబంధించిన అదనపు అర్హత డేటా. ఐచ్ఛికం మరియు రకం-నిర్దిష్ట.
• ఉపమార్గం: ప్యాకేజీ రూట్‌కు సంబంధించి ప్యాకేజీలోని అదనపు మార్గం

ఉదాహరణకు:

pkg:golang/google.golang.org/genproto#googleapis/api/annotations
pkg:maven/org.apache.commons/[email protected]
pkg:pypi/[email protected]

డిపెండెన్సీ ట్రాక్ — రెడీమేడ్ బిల్ ఆఫ్ మెటీరియల్స్ (BOM)ని ఆమోదించే ఆన్-ప్రిమైజ్ వెబ్ ప్లాట్‌ఫారమ్ CycloneDX и SPDX, అంటే, ఇప్పటికే ఉన్న డిపెండెన్సీల గురించి రెడీమేడ్ స్పెసిఫికేషన్‌లు. ఇది పేరు, హ్యాష్‌లు, ప్యాకేజీ url, ప్రచురణకర్త, లైసెన్స్ - డిపెండెన్సీలను వివరించే XML ఫైల్. తర్వాత, డిపెండెన్సీ ట్రాక్ BOMని అన్వయిస్తుంది, వల్నరబిలిటీ డేటాబేస్ (NVD, Sonatype OSS ఇండెక్స్...) నుండి గుర్తించబడిన డిపెండెన్సీలకు అందుబాటులో ఉన్న CVEలను చూస్తుంది, దాని తర్వాత ఇది గ్రాఫ్‌లను రూపొందించి, కొలమానాలను గణిస్తుంది, భాగాల యొక్క దుర్బలత్వ స్థితిపై డేటాను క్రమం తప్పకుండా అప్‌డేట్ చేస్తుంది. .

XML ఆకృతిలో BOM ఎలా ఉంటుందో దానికి ఉదాహరణ:

<?xml version="1.0" encoding="UTF-8"?>
<bom xmlns="http://cyclonedx.org/schema/bom/1.2" serialNumber="urn:uuid:3e671687-395b-41f5-a30f-a58921a69b79" version="1">
  <components>
    <component type="library">
      <publisher>Apache</publisher>
      <group>org.apache.tomcat</group>
      <name>tomcat-catalina</name>
      <version>9.0.14</version>
      <hashes>
        <hash alg="MD5">3942447fac867ae5cdb3229b658f4d48</hash>
        <hash alg="SHA-1">e6b1000b94e835ffd37f4c6dcbdad43f4b48a02a</hash>
        <hash alg="SHA-256">f498a8ff2dd007e29c2074f5e4b01a9a01775c3ff3aeaf6906ea503bc5791b7b</hash>
        <hash alg="SHA-512">e8f33e424f3f4ed6db76a482fde1a5298970e442c531729119e37991884bdffab4f9426b7ee11fccd074eeda0634d71697d6f88a460dce0ac8d627a29f7d1282</hash>
      </hashes>
      <licenses>
        <license>
          <id>Apache-2.0</id>
        </license>
      </licenses>
      <purl>pkg:maven/org.apache.tomcat/[email protected]</purl>
    </component>
      <!-- More components here -->
  </components>
</bom>

BOMని డిపెండెన్సీ ట్రాక్ కోసం ఇన్‌పుట్ పారామీటర్‌లుగా మాత్రమే కాకుండా, సరఫరా గొలుసులోని సాఫ్ట్‌వేర్ భాగాలను ఇన్వెంటరీ చేయడానికి కూడా ఉపయోగించవచ్చు, ఉదాహరణకు, కస్టమర్‌కు సాఫ్ట్‌వేర్ అందించడం కోసం. 2014లో, యునైటెడ్ స్టేట్స్‌లో కూడా ఒక చట్టం ప్రతిపాదించబడింది "సైబర్ సప్లై చైన్ మేనేజ్‌మెంట్ మరియు పారదర్శకత చట్టం 2014", ఇది సాఫ్ట్‌వేర్‌ను కొనుగోలు చేసేటప్పుడు, ఏదైనా రాష్ట్రం అని పేర్కొంది. హాని కలిగించే భాగాల వినియోగాన్ని నిరోధించడానికి సంస్థ తప్పనిసరిగా BOMని అభ్యర్థించాలి, కానీ చట్టం ఇంకా అమలులోకి రాలేదు.

SCAకి తిరిగి రావడం, డిపెండెన్సీ ట్రాక్‌లో స్లాక్ వంటి నోటిఫికేషన్ ప్లాట్‌ఫారమ్‌లు, కెన్నా సెక్యూరిటీ వంటి వల్నరబిలిటీ మేనేజ్‌మెంట్ సిస్టమ్‌లతో రెడీమేడ్ ఇంటిగ్రేషన్‌లు ఉన్నాయి. డిపెండెన్సీ ట్రాక్, ఇతర విషయాలతోపాటు, ప్యాకేజీల యొక్క పాత వెర్షన్‌లను గుర్తిస్తుంది మరియు లైసెన్స్‌ల గురించి సమాచారాన్ని అందిస్తుంది (SPDX మద్దతు కారణంగా).

మేము SCA నాణ్యత గురించి ప్రత్యేకంగా మాట్లాడినట్లయితే, అప్పుడు ప్రాథమిక వ్యత్యాసం ఉంది.

డిపెండెన్సీ ట్రాక్ ప్రాజెక్ట్‌ను ఇన్‌పుట్‌గా అంగీకరించదు, బదులుగా BOM. దీని అర్థం మనం ప్రాజెక్ట్‌ను పరీక్షించాలనుకుంటే, ముందుగా మనం bom.xmlని రూపొందించాలి, ఉదాహరణకు CycloneDXని ఉపయోగించడం. అందువలన, డిపెండెన్సీ ట్రాక్ నేరుగా CycloneDXపై ఆధారపడి ఉంటుంది. అదే సమయంలో, ఇది అనుకూలీకరణకు అనుమతిస్తుంది. ఇది OZON బృందం రాసింది CycloneDX మాడ్యూల్ డిపెండెన్సీ ట్రాక్ ద్వారా తదుపరి స్కానింగ్ కోసం గోలాంగ్ ప్రాజెక్ట్‌ల కోసం BOM ఫైల్‌లను అసెంబ్లింగ్ చేయడం కోసం.

Nexus IQ Sonatype నుండి ఒక వాణిజ్య SCA పరిష్కారం, ఇది Sonatype పర్యావరణ వ్యవస్థలో భాగం, ఇందులో Nexus రిపోజిటరీ మేనేజర్ కూడా ఉంది. Nexus IQ వెబ్ ఇంటర్‌ఫేస్ లేదా API మరియు BOM ద్వారా యుద్ధ ఆర్కైవ్‌లు (జావా ప్రాజెక్ట్‌ల కోసం) రెండింటినీ ఇన్‌పుట్‌గా అంగీకరించవచ్చు, ఒకవేళ మీ సంస్థ ఇంకా CycloneDX నుండి కొత్త పరిష్కారానికి మారకపోతే. ఓపెన్ సోర్స్ సొల్యూషన్‌ల వలె కాకుండా, IQ అనేది CP/PURLని గుర్తించిన భాగం మరియు డేటాబేస్‌లోని సంబంధిత దుర్బలత్వాన్ని మాత్రమే కాకుండా, దాని స్వంత పరిశోధనను పరిగణనలోకి తీసుకుంటుంది, ఉదాహరణకు, హాని కలిగించే ఫంక్షన్ లేదా తరగతి పేరు. IQ యొక్క మెకానిజమ్స్ ఫలితాల విశ్లేషణలో తరువాత చర్చించబడతాయి.

కొన్ని ఫంక్షనల్ ఫీచర్లను సంగ్రహించండి మరియు విశ్లేషణ కోసం మద్దతు ఉన్న భాషలను కూడా పరిశీలిద్దాం:

భాష
Nexus IQ
డిపెండెన్సీ చెక్
డిపెండెన్సీ ట్రాక్

జావా
+
+
+

C / C ++
+
+
-

C#
+
+
-

.Net
+
+
+

ఏర్లాంగ్
-
-
+

జావాస్క్రిప్ట్ (NodeJS)
+
+
+

PHP
+
+
+

పైథాన్
+
+
+

రూబీ
+
+
+

పెర్ల్
-
-
-

స్కాలా
+
+
+

ఆబ్జెక్టివ్ సి
+
+
-

స్విఫ్ట్
+
+
-

R
+
-
-

Go
+
+
+

కార్యాచరణ

కార్యాచరణ
Nexus IQ
డిపెండెన్సీ చెక్
డిపెండెన్సీ ట్రాక్

సోర్స్ కోడ్‌లో ఉపయోగించిన భాగాలు లైసెన్స్ పొందిన స్వచ్ఛత కోసం తనిఖీ చేయబడతాయని నిర్ధారించే సామర్థ్యం
+
-
+

డాకర్ చిత్రాల కోసం దుర్బలత్వం మరియు లైసెన్స్ శుభ్రత కోసం స్కాన్ మరియు విశ్లేషించే సామర్థ్యం
+ క్లెయిర్‌తో ఏకీకరణ
-
-

ఓపెన్ సోర్స్ లైబ్రరీలను ఉపయోగించడానికి భద్రతా విధానాలను కాన్ఫిగర్ చేయగల సామర్థ్యం
+
-
-

హాని కలిగించే భాగాల కోసం ఓపెన్ సోర్స్ రిపోజిటరీలను స్కాన్ చేయగల సామర్థ్యం
+ రూబీజెమ్స్, మావెన్, NPM, నుగెట్, పైపీ, కోనన్, బోవర్, కొండా, గో, p2, R, యమ్, హెల్మ్, డాకర్, కోకోపాడ్స్, Git LFS
-
+ హెక్స్, రూబీజెమ్స్, మావెన్, NPM, నుగెట్, పైపీ

ప్రత్యేక పరిశోధన సమూహం యొక్క లభ్యత
+
-
-

క్లోజ్డ్ లూప్ ఆపరేషన్
+
+
+

మూడవ పార్టీ డేటాబేస్‌లను ఉపయోగించడం
+ క్లోజ్డ్ సోనాటైప్ డేటాబేస్
+ సోనాటైప్ OSS, NPM పబ్లిక్ అడ్వైజర్స్
+ సోనాటైప్ OSS, NPM పబ్లిక్ అడ్వైజర్స్, RetireJS, VulnDB, దాని స్వంత దుర్బలత్వ డేటాబేస్‌కు మద్దతు

కాన్ఫిగర్ చేసిన విధానాల ప్రకారం డెవలప్‌మెంట్ లూప్‌లోకి లోడ్ చేయడానికి ప్రయత్నిస్తున్నప్పుడు ఓపెన్ సోర్స్ భాగాలను ఫిల్టర్ చేయగల సామర్థ్యం
+
-
-

బలహీనతలను పరిష్కరించడానికి సిఫార్సులు, పరిష్కారాలకు లింక్‌ల లభ్యత
+
+- (పబ్లిక్ డేటాబేస్‌లలోని వివరణపై ఆధారపడి ఉంటుంది)
+- (పబ్లిక్ డేటాబేస్‌లలోని వివరణపై ఆధారపడి ఉంటుంది)

తీవ్రత ద్వారా గుర్తించబడిన దుర్బలత్వాల ర్యాంకింగ్
+
+
+

పాత్ర-ఆధారిత యాక్సెస్ మోడల్
+
-
+

CLI మద్దతు
+
+
+- (CycloneDX కోసం మాత్రమే)

నిర్వచించిన ప్రమాణాల ప్రకారం దుర్బలత్వాల నమూనా/క్రమబద్ధీకరణ
+
-
+

అప్లికేషన్ స్థితి ద్వారా డాష్‌బోర్డ్
+
-
+

PDF ఆకృతిలో నివేదికలను రూపొందిస్తోంది
+
-
-

JSONCSV ఆకృతిలో నివేదికలను రూపొందిస్తోంది
+
+
-

రష్యన్ భాష మద్దతు
-
-
-

ఇంటిగ్రేషన్ సామర్థ్యాలు

అనుసంధానం
Nexus IQ
డిపెండెన్సీ చెక్
డిపెండెన్సీ ట్రాక్

LDAP/యాక్టివ్ డైరెక్టరీ ఇంటిగ్రేషన్
+
-
+

నిరంతర ఏకీకరణ వ్యవస్థ వెదురుతో ఏకీకరణ
+
-
-

నిరంతర ఇంటిగ్రేషన్ సిస్టమ్ టీమ్‌సిటీతో ఏకీకరణ
+
-
-

నిరంతర ఇంటిగ్రేషన్ సిస్టమ్ GitLabతో ఏకీకరణ
+
+- (GitLab కోసం ప్లగిన్‌గా)
+

నిరంతర ఇంటిగ్రేషన్ సిస్టమ్ జెంకిన్స్‌తో ఏకీకరణ
+
+
+

IDE కోసం ప్లగిన్‌ల లభ్యత
+ IntelliJ, ఎక్లిప్స్, విజువల్ స్టూడియో
-
-

సాధనం యొక్క వెబ్ సేవల (API) ద్వారా అనుకూల ఏకీకరణకు మద్దతు
+
-
+

డిపెండెన్సీ చెక్

మొదటి ప్రారంభం

ఉద్దేశపూర్వకంగా హాని కలిగించే అప్లికేషన్‌పై డిపెండెన్సీ చెక్‌ని అమలు చేద్దాం DVJA.

దీని కోసం మేము ఉపయోగిస్తాము డిపెండెన్సీ చెక్ మావెన్ ప్లగిన్:

mvn org.owasp:dependency-check-maven:check

ఫలితంగా, డిపెండెన్సీ-చెక్-రిపోర్ట్.html లక్ష్య డైరెక్టరీలో కనిపిస్తుంది.

ఫైల్‌ని ఓపెన్ చేద్దాం. మొత్తం దుర్బలత్వాల సంఖ్య గురించి సారాంశ సమాచారం తర్వాత, మేము ప్యాకేజీ, CPE మరియు CVEల సంఖ్యను సూచిస్తూ, అధిక స్థాయి తీవ్రత మరియు విశ్వాసంతో దుర్బలత్వాల గురించిన సమాచారాన్ని చూడవచ్చు.

తదుపరి మరింత వివరణాత్మక సమాచారం వస్తుంది, ప్రత్యేకించి నిర్ణయం తీసుకున్న ఆధారం (సాక్ష్యం), అంటే ఒక నిర్దిష్ట BOM.

తర్వాత CPE, PURL మరియు CVE వివరణ వస్తుంది. మార్గం ద్వారా, NVD డేటాబేస్‌లో లేకపోవడం వల్ల దిద్దుబాటు కోసం సిఫార్సులు చేర్చబడలేదు.

స్కాన్ ఫలితాలను క్రమపద్ధతిలో వీక్షించడానికి, మీరు కనిష్ట సెట్టింగ్‌లతో Nginxని కాన్ఫిగర్ చేయవచ్చు లేదా ఫలిత లోపాలను డిపెండెన్సీ చెక్‌కు కనెక్టర్లకు మద్దతిచ్చే లోపం నిర్వహణ సిస్టమ్‌కు పంపవచ్చు. ఉదాహరణకు, లోపం డోజో.

డిపెండెన్సీ ట్రాక్

సెట్టింగ్

డిపెండెన్సీ ట్రాక్ అనేది డిస్ప్లే గ్రాఫ్‌లతో కూడిన వెబ్ ఆధారిత ప్లాట్‌ఫారమ్, కాబట్టి థర్డ్-పార్టీ సొల్యూషన్‌లో లోపాలను నిల్వ చేసే సమస్య ఇక్కడ తలెత్తదు.
ఇన్‌స్టాలేషన్‌కు మద్దతు ఇచ్చే స్క్రిప్ట్‌లు: డాకర్, వార్, ఎక్జిక్యూటబుల్ వార్.

మొదటి ప్రారంభం

మేము నడుస్తున్న సేవ యొక్క URLకి వెళ్తాము. మేము అడ్మిన్/అడ్మిన్ ద్వారా లాగిన్ చేసి, లాగిన్ మరియు పాస్‌వర్డ్‌ను మార్చండి, ఆపై డాష్‌బోర్డ్‌కి వెళ్తాము. జావాలో టెస్ట్ అప్లికేషన్ కోసం ప్రాజెక్ట్‌ను సృష్టించడం మేము చేయబోయే తదుపరి పని ఇల్లు/ప్రాజెక్ట్‌లు → ప్రాజెక్ట్‌ని సృష్టించండి . DVJA ని ఉదాహరణగా తీసుకుందాం.

డిపెండెన్సీ ట్రాక్ BOMని ఇన్‌పుట్‌గా మాత్రమే ఆమోదించగలదు కాబట్టి, ఈ BOMని తప్పనిసరిగా తిరిగి పొందాలి. సద్వినియోగం చేసుకుందాం CycloneDX మావెన్ ప్లగిన్:

mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom

మేము bom.xmlని పొందుతాము మరియు సృష్టించిన ప్రాజెక్ట్‌లో ఫైల్‌ను లోడ్ చేస్తాము DVJA → డిపెండెన్సీలు → అప్‌లోడ్ BOM.

అడ్మినిస్ట్రేషన్ → ఎనలైజర్‌లకు వెళ్దాం. మేము NVDని కలిగి ఉన్న అంతర్గత ఎనలైజర్ మాత్రమే ప్రారంభించబడ్డామని మేము అర్థం చేసుకున్నాము. సోనాటైప్ OSS సూచికను కూడా కనెక్ట్ చేద్దాం.

కాబట్టి, మేము మా ప్రాజెక్ట్ కోసం క్రింది చిత్రాన్ని పొందుతాము:

జాబితాలో కూడా మీరు Sonatype OSSకి వర్తించే ఒక దుర్బలత్వాన్ని కనుగొనవచ్చు:

డిపెండెన్సీ ట్రాక్ ఇకపై డిపెండెన్సీ చెక్ xml రిపోర్టులను అంగీకరించకపోవడం ప్రధాన నిరాశ. డిపెండెన్సీ చెక్ ఇంటిగ్రేషన్ యొక్క తాజా మద్దతు వెర్షన్లు 1.0.0 - 4.0.2, నేను 5.3.2ని పరీక్షించాను.

ఇక్కడ видео (మరియు ఇక్కడ) ఇది ఇప్పటికీ సాధ్యమైనప్పుడు.

Nexus IQ

మొదటి ప్రారంభం

Nexus IQ యొక్క ఇన్‌స్టాలేషన్ ఆర్కైవ్‌ల నుండి వచ్చింది డాక్యుమెంటేషన్, కానీ మేము ఈ ప్రయోజనాల కోసం డాకర్ చిత్రాన్ని రూపొందించాము.

కన్సోల్‌లోకి లాగిన్ అయిన తర్వాత, మీరు ఒక సంస్థ మరియు అప్లికేషన్‌ను సృష్టించాలి.

మీరు చూడగలిగినట్లుగా, IQ విషయంలో సెటప్ కొంత క్లిష్టంగా ఉంటుంది, ఎందుకంటే మేము వివిధ "దశల" (దేవ్, బిల్డ్, స్టేజ్, రిలీజ్) కోసం వర్తించే విధానాలను కూడా సృష్టించాలి. ఉత్పత్తికి దగ్గరగా పైప్‌లైన్ గుండా వెళుతున్నప్పుడు హాని కలిగించే భాగాలను నిరోధించడానికి లేదా డెవలపర్‌లు డౌన్‌లోడ్ చేసినప్పుడు Nexus Repoలోకి ప్రవేశించిన వెంటనే వాటిని నిరోధించడానికి ఇది అవసరం.

ఓపెన్ సోర్స్ మరియు ఎంటర్‌ప్రైజ్ మధ్య వ్యత్యాసాన్ని అనుభూతి చెందడానికి, Nexus IQ ద్వారా అదే విధంగా స్కాన్ చేద్దాం మావెన్ ప్లగ్ఇన్, మునుపు NexusIQ ఇంటర్‌ఫేస్‌లో ఒక పరీక్ష అప్లికేషన్‌ను సృష్టించింది dvja-test-and-compare:

mvn com.sonatype.clm:clm-maven-plugin:evaluate -Dclm.applicationId=dvja-test-and-compare -Dclm.serverUrl=<NEXUSIQIP> -Dclm.username=<USERNAME> -Dclm.password=<PASSWORD>

IQ వెబ్ ఇంటర్‌ఫేస్‌లో రూపొందించబడిన నివేదికకు URLని అనుసరించండి:

ఇక్కడ మీరు వివిధ ప్రాముఖ్యత స్థాయిలను సూచించే అన్ని విధాన ఉల్లంఘనలను చూడవచ్చు (సమాచారం నుండి సెక్యూరిటీ క్రిటికల్ వరకు). కాంపోనెంట్ ప్రక్కన ఉన్న అక్షరం D అంటే ఆ భాగం డైరెక్ట్ డిపెండెన్సీ అని, మరియు కాంపోనెంట్ పక్కన ఉన్న T అక్షరం అంటే ఆ కాంపోనెంట్ ట్రాన్సిటివ్ డిపెండెన్సీ అని, అంటే ఇది ట్రాన్సిటివ్ అని అర్థం.

మార్గం ద్వారా, నివేదిక స్టేట్ ఆఫ్ ఓపెన్ సోర్స్ సెక్యూరిటీ రిపోర్ట్ 2020 Snyk నుండి Node.js, Java మరియు Rubyలలో కనుగొనబడిన 70% కంటే ఎక్కువ ఓపెన్ సోర్స్ దుర్బలత్వాలు ట్రాన్సిటివ్ డిపెండెన్సీలలో ఉన్నాయని నివేదించింది.

మేము Nexus IQ విధాన ఉల్లంఘనలలో ఒకదాన్ని తెరిస్తే, మేము కాంపోనెంట్ యొక్క వివరణను అలాగే టైమ్ గ్రాఫ్‌లో ప్రస్తుత వెర్షన్ యొక్క స్థానాన్ని చూపే వెర్షన్ గ్రాఫ్‌ను చూడవచ్చు, అలాగే ఏ సమయంలో దుర్బలత్వం ఆగిపోతుంది దుర్బలంగా ఉంటుంది. గ్రాఫ్‌లోని కొవ్వొత్తుల ఎత్తు ఈ భాగాన్ని ఉపయోగించడం యొక్క ప్రజాదరణను చూపుతుంది.

మీరు దుర్బలత్వాల విభాగానికి వెళ్లి CVEని విస్తరింపజేసినట్లయితే, మీరు ఈ దుర్బలత్వం, తొలగింపు కోసం సిఫార్సులు, అలాగే ఈ భాగం ఎందుకు ఉల్లంఘించబడిందనే దాని గురించిన వివరణను చదవవచ్చు, అంటే తరగతి ఉనికి DiskFileitem.class.

js భాగాలను తీసివేసి, థర్డ్-పార్టీ జావా కాంపోనెంట్‌లకు సంబంధించిన వాటిని మాత్రమే సంగ్రహిద్దాం. కుండలీకరణాల్లో మేము NVD వెలుపల కనుగొనబడిన దుర్బలత్వాల సంఖ్యను సూచిస్తాము.

మొత్తం Nexus IQ:

• స్కాన్ చేసిన డిపెండెన్సీలు: 62
• హాని కలిగించే డిపెండెన్సీలు: 16
• దుర్బలత్వాలు కనుగొనబడ్డాయి: 42 (8 సోనాటైప్ db)

మొత్తం డిపెండెన్సీ చెక్:

• స్కాన్ చేసిన డిపెండెన్సీలు: 47
• హాని కలిగించే డిపెండెన్సీలు: 13
• దుర్బలత్వాలు కనుగొనబడ్డాయి: 91 (14 సోనాటైప్ oss)

మొత్తం డిపెండెన్సీ ట్రాక్:

• స్కాన్ చేసిన డిపెండెన్సీలు: 59
• హాని కలిగించే డిపెండెన్సీలు: 10
• దుర్బలత్వాలు కనుగొనబడ్డాయి: 51 (1 సోనాటైప్ oss)

తదుపరి దశలలో, మేము పొందిన ఫలితాలను విశ్లేషిస్తాము మరియు ఈ దుర్బలత్వాలలో ఏది నిజమైన లోపం మరియు ఏది తప్పుడు పాజిటివ్ అని గుర్తించాము.

నిరాకరణ

ఈ సమీక్ష కాదనలేని నిజం కాదు. ఇతరుల నేపథ్యానికి వ్యతిరేకంగా ప్రత్యేక పరికరాన్ని హైలైట్ చేయాలనే లక్ష్యం రచయితకు లేదు. సమీక్ష యొక్క ఉద్దేశ్యం SCA సాధనాల యొక్క ఆపరేషన్ యొక్క మెకానిజమ్స్ మరియు వాటి ఫలితాలను తనిఖీ చేసే మార్గాలను చూపడం.

ఫలితాల పోలిక

నిబంధనలు మరియు షరతులు:

థర్డ్-పార్టీ కాంపోనెంట్ దుర్బలత్వాలకు తప్పుడు పాజిటివ్:

• గుర్తించబడిన భాగానికి CVE సరిపోలలేదు
• ఉదాహరణకు, స్ట్రట్స్ 2 ఫ్రేమ్‌వర్క్‌లో దుర్బలత్వం గుర్తించబడి, మరియు సాధనం స్ట్రట్స్-టైల్స్ ఫ్రేమ్‌వర్క్‌లోని ఒక భాగాన్ని సూచించినట్లయితే, ఈ దుర్బలత్వం వర్తించదు, అప్పుడు ఇది తప్పుడు సానుకూలం
• కాంపోనెంట్ యొక్క గుర్తించబడిన సంస్కరణకు CVE సరిపోలలేదు
• ఉదాహరణకు, దుర్బలత్వం పైథాన్ వెర్షన్ > 3.5తో ముడిపడి ఉంది మరియు సాధనం వెర్షన్ 2.7ను హాని కలిగించేదిగా సూచిస్తుంది - ఇది తప్పుడు సానుకూలం, ఎందుకంటే నిజానికి ఈ దుర్బలత్వం 3.x ఉత్పత్తి శాఖకు మాత్రమే వర్తిస్తుంది.
• నకిలీ CVE
• ఉదాహరణకు, RCEని ప్రారంభించే CVEని SCA నిర్దేశిస్తే, ఆ RCE ద్వారా ప్రభావితమైన Cisco ఉత్పత్తులకు వర్తించే అదే భాగం కోసం SCA CVEని నిర్దేశిస్తుంది. ఈ సందర్భంలో అది తప్పుడు సానుకూలంగా ఉంటుంది.
• ఉదాహరణకు, స్ప్రింగ్-వెబ్ కాంపోనెంట్‌లో CVE కనుగొనబడింది, ఆ తర్వాత SCA అదే CVEని స్ప్రింగ్ ఫ్రేమ్‌వర్క్‌లోని ఇతర భాగాలలో సూచిస్తుంది, అయితే CVEకి ఇతర భాగాలతో సంబంధం లేదు. ఈ సందర్భంలో అది తప్పుడు సానుకూలంగా ఉంటుంది.

అధ్యయనం యొక్క లక్ష్యం ఓపెన్ సోర్స్ ప్రాజెక్ట్ DVJA. అధ్యయనంలో జావా భాగాలు మాత్రమే ఉన్నాయి (js లేకుండా).

సారాంశం ఫలితాలు

గుర్తించబడిన దుర్బలత్వాల యొక్క మాన్యువల్ సమీక్ష ఫలితాలకు నేరుగా వెళ్దాం. ప్రతి CVEకి సంబంధించిన పూర్తి నివేదికను అనుబంధంలో చూడవచ్చు.

అన్ని దుర్బలత్వాల కోసం సారాంశ ఫలితాలు:

పరామితి
Nexus IQ
డిపెండెన్సీ చెక్
డిపెండెన్సీ ట్రాక్

మొత్తం దుర్బలత్వాలు గుర్తించబడ్డాయి
42
91
51

తప్పుగా గుర్తించబడిన దుర్బలత్వాలు (తప్పుడు పాజిటివ్)
2 (4.76%)
62 (68,13%)
29 (56.86%)

సంబంధిత దుర్బలత్వాలు ఏవీ కనుగొనబడలేదు (తప్పుడు ప్రతికూలం)
10
20
27

భాగం వారీగా సారాంశ ఫలితాలు:

పరామితి
Nexus IQ
డిపెండెన్సీ చెక్
డిపెండెన్సీ ట్రాక్

మొత్తం భాగాలు గుర్తించబడ్డాయి
62
47
59

మొత్తం హాని కలిగించే భాగాలు
16
13
10

హాని కలిగించే భాగాలు తప్పుగా గుర్తించబడ్డాయి (తప్పుడు సానుకూలం)
1
5
0

హాని కలిగించే భాగాలు తప్పుగా గుర్తించబడ్డాయి (తప్పుడు సానుకూలం)
0
6
6

మొత్తం దుర్బలత్వాల సంఖ్యకు తప్పుడు సానుకూల మరియు తప్పుడు ప్రతికూల నిష్పత్తిని అంచనా వేయడానికి దృశ్య గ్రాఫ్‌లను రూపొందిద్దాం. భాగాలు క్షితిజ సమాంతరంగా గుర్తించబడతాయి మరియు వాటిలో గుర్తించబడిన దుర్బలత్వాలు నిలువుగా గుర్తించబడతాయి.

పోలిక కోసం, సోనాటైప్ బృందం OWASP డిపెండెన్సీ చెక్‌ని ఉపయోగించి 1531 భాగాల ప్రాజెక్ట్‌ను పరీక్షించడం ద్వారా ఇదే విధమైన అధ్యయనం నిర్వహించబడింది. మేము చూడగలిగినట్లుగా, సరైన ప్రతిస్పందనలకు శబ్దం యొక్క నిష్పత్తి మా ఫలితాలతో పోల్చవచ్చు.

మూలం: www.sonatype.com/why-precision-matters-ebook

ఈ ఫలితాలకు కారణాన్ని అర్థం చేసుకోవడానికి మా స్కాన్ ఫలితాల నుండి కొన్ని CVEలను చూద్దాం.

మరింత చదవండి

№1

Sonatype Nexus IQ గురించిన కొన్ని ఆసక్తికరమైన అంశాలను ముందుగా చూద్దాం.

Nexus IQ అనేక సార్లు స్ప్రింగ్ ఫ్రేమ్‌వర్క్‌లో RCEని నిర్వహించగల సామర్థ్యంతో డీరియలైజేషన్‌తో సమస్యను ఎత్తి చూపింది. వసంత-వెబ్‌లో CVE-2016-1000027:3.0.5 మొదటిసారి, మరియు CVE-2011-2894 వసంత-సందర్భంలో:3.0.5 మరియు స్ప్రింగ్-కోర్:3.0.5. మొదట, బహుళ CVEలలో దుర్బలత్వం యొక్క డూప్లికేషన్ ఉన్నట్లు కనిపిస్తుంది. ఎందుకంటే, మీరు NVD డేటాబేస్‌లో CVE-2016-1000027 మరియు CVE-2011-2894 చూస్తే, ప్రతిదీ స్పష్టంగా ఉన్నట్లు అనిపిస్తుంది.

భాగం
దుర్బలత్వం

వసంత-వెబ్:3.0.5
CVE-2016-1000027

వసంత-సందర్భం:3.0.5
CVE-2011-2894

స్ప్రింగ్-కోర్: 3.0.5
CVE-2011-2894

వివరణ CVE-2011-2894 NVD నుండి:


వివరణ CVE-2016-1000027 NVD నుండి:


CVE-2011-2894 చాలా ప్రసిద్ధి చెందింది. నివేదికలో వైట్ సోర్స్ 2011 ఈ CVE అత్యంత సాధారణమైన వాటిలో ఒకటిగా గుర్తించబడింది. CVE-2016-100027 కోసం వివరణలు, సూత్రప్రాయంగా, NVDలో చాలా తక్కువగా ఉన్నాయి మరియు ఇది స్ప్రింగ్ ఫ్రేమ్‌వర్క్ 4.1.4కి మాత్రమే వర్తిస్తుంది. ఒకసారి చూద్దాం సూచన మరియు ఇక్కడ ప్రతిదీ ఎక్కువ లేదా తక్కువ స్పష్టమవుతుంది. నుండి టెనబుల్ కథనాలు దుర్బలత్వానికి అదనంగా మేము అర్థం చేసుకున్నాము RemoteInvocationSerializingExporter CVE-2011-2894లో, దుర్బలత్వం గమనించబడింది HttpInvokerServiceExporter. Nexus IQ మాకు చెప్పేది ఇదే:

అయినప్పటికీ, NVDలో ఇలాంటివి ఏవీ లేవు, అందుకే డిపెండెన్సీ చెక్ మరియు డిపెండెన్సీ ట్రాక్ ప్రతి ఒక్కటి తప్పుడు ప్రతికూలతను పొందుతాయి.

CVE-2011-2894 యొక్క వివరణ నుండి కూడా దుర్బలత్వం వసంత-సందర్భం:3.0.5 మరియు స్ప్రింగ్-కోర్:3.0.5 రెండింటిలోనూ ఉందని అర్థం చేసుకోవచ్చు. దీని నిర్ధారణ ఈ దుర్బలత్వాన్ని కనుగొన్న వ్యక్తి నుండి ఒక కథనంలో కనుగొనవచ్చు.

№2

భాగం
దుర్బలత్వం
ఫలితంగా

స్ట్రట్స్2-కోర్:2.3.30
CVE-2016-4003
FALSE

మేము హాని CVE-2016-4003ని అధ్యయనం చేస్తే, అది వెర్షన్ 2.3.28లో పరిష్కరించబడిందని మేము అర్థం చేసుకుంటాము, అయినప్పటికీ, Nexus IQ దానిని మాకు నివేదిస్తుంది. దుర్బలత్వం యొక్క వివరణలో ఒక గమనిక ఉంది:

అంటే, JRE యొక్క పాత వెర్షన్‌తో కలిపి మాత్రమే దుర్బలత్వం ఉంది, దాని గురించి వారు మమ్మల్ని హెచ్చరించాలని నిర్ణయించుకున్నారు. ఏది ఏమైనప్పటికీ, మేము ఈ ఫాల్స్ పాజిటివ్‌గా పరిగణిస్తాము, అయితే చెత్త కాదు.

3

భాగం
దుర్బలత్వం
ఫలితంగా

xwork-core:2.3.30
CVE-2017-9804
TRUE

xwork-core:2.3.30
CVE-2017-7672
FALSE

CVE-2017-9804 మరియు CVE-2017-7672 యొక్క వివరణలను పరిశీలిస్తే, సమస్య ఏమిటో మనకు అర్థమవుతుంది. URLValidator class, CVE-2017-9804తో CVE-2017-7672 నుండి వచ్చింది. రెండవ దుర్బలత్వం యొక్క ఉనికి దాని తీవ్రత అధిక స్థాయికి పెరిగింది అనే వాస్తవం కంటే ఇతర ఉపయోగకరమైన లోడ్‌ను కలిగి ఉండదు, కాబట్టి మేము దానిని అనవసరమైన శబ్దంగా పరిగణించవచ్చు.

మొత్తంమీద, Nexus IQకి ఇతర తప్పుడు పాజిటివ్‌లు ఏవీ కనుగొనబడలేదు.

№4

IQని ఇతర పరిష్కారాల నుండి వేరు చేసే అనేక అంశాలు ఉన్నాయి.

భాగం
దుర్బలత్వం
ఫలితంగా

వసంత-వెబ్:3.0.5
CVE-2020-5398
TRUE

NVDలోని CVE, ఇది 5.2కి ముందు 5.2.3.x, 5.1కి ముందు 5.1.13.x, మరియు 5.0కి ముందు 5.0.16.x వెర్షన్‌లకు మాత్రమే వర్తిస్తుంది, అయితే, Nexus IQలోని CVE వివరణను పరిశీలిస్తే. , అప్పుడు మేము ఈ క్రింది వాటిని చూస్తాము:
సలహా విచలనం నోటీసు: సోనాటైప్ భద్రతా పరిశోధన బృందం ఈ దుర్బలత్వం వెర్షన్ 3.0.2.రిలీజ్‌లో ప్రవేశపెట్టబడిందని మరియు అడ్వైజరీలో పేర్కొన్న విధంగా 5.0.x కాదు అని కనుగొంది.

దీని తర్వాత ఈ దుర్బలత్వం కోసం PoC ఉంటుంది, ఇది వెర్షన్ 3.0.5లో ఉందని పేర్కొంది.

తప్పుడు ప్రతికూలత డిపెండెన్సీ చెక్ మరియు డిపెండెన్సీ ట్రాక్‌కి పంపబడుతుంది.

№5

డిపెండెన్సీ చెక్ మరియు డిపెండెన్సీ ట్రాక్ కోసం తప్పుడు పాజిటివ్‌ని చూద్దాం.

డిపెండెన్సీ చెక్ అనేది NVDలోని మొత్తం ఫ్రేమ్‌వర్క్‌కు వర్తించే ఆ CVEలను ఈ CVEలు వర్తించని భాగాలకు ప్రతిబింబిస్తుంది. ఇది CVE-2012-0394, CVE-2013-2115, CVE-2014-0114, CVE-2015-0899, CVE-2015-2992, CVE-2016-1181, CVE-2016, స్క్రూడ్ స్క్రూడ్ “1182”కి సంబంధించినది ” to struts-taglib:1.3.8 మరియు struts-tiles-1.3.8. ఈ భాగాలకు CVEలో వివరించిన వాటితో ఎటువంటి సంబంధం లేదు - అభ్యర్థన ప్రాసెసింగ్, పేజీ ధ్రువీకరణ మరియు మొదలైనవి. దీనికి కారణం ఈ CVEలు మరియు భాగాలు ఉమ్మడిగా ఉండేవి ఫ్రేమ్‌వర్క్ మాత్రమే, అందుకే డిపెండెన్సీ చెక్ దీనిని దుర్బలత్వంగా పరిగణించింది.

అదే పరిస్థితి స్ప్రింగ్-tx:3.0.5, మరియు స్ట్రట్స్-కోర్:1.3.8తో కూడా ఇదే పరిస్థితి. స్ట్రట్స్-కోర్ కోసం, డిపెండెన్సీ చెక్ మరియు డిపెండెన్సీ ట్రాక్‌లు చాలా దుర్బలత్వాలను కనుగొన్నాయి, ఇవి వాస్తవానికి ప్రత్యేక ఫ్రేమ్‌వర్క్ అయిన స్ట్రట్స్2-కోర్‌కి వర్తిస్తాయి. ఈ సందర్భంలో, Nexus IQ చిత్రాన్ని సరిగ్గా అర్థం చేసుకుంది మరియు అది జారీ చేసిన CVEలలో, స్ట్రట్స్-కోర్ జీవిత ముగింపుకు చేరుకుందని మరియు స్ట్రట్స్2-కోర్‌కు వెళ్లడం అవసరమని సూచించింది.

№6

కొన్ని పరిస్థితులలో, స్పష్టమైన డిపెండెన్సీ చెక్ మరియు డిపెండెన్సీ ట్రాక్ ఎర్రర్‌ను అర్థం చేసుకోవడం అన్యాయం. ముఖ్యంగా CVE-2013-4152, CVE-2013-6429, CVE-2013-6430, CVE-2013-7315, CVE-2014-0054, CVE-2014-0225, CVE-2014 డీపెన్సీ చెక్, ఇది-0225d-3.0.5d ఆపాదించబడిన స్ప్రింగ్-కోర్:3.0.5 నిజానికి స్ప్రింగ్-వెబ్:XNUMXకి చెందినది. అదే సమయంలో, ఈ CVEలలో కొన్ని Nexus IQ ద్వారా కూడా కనుగొనబడ్డాయి, అయినప్పటికీ, IQ వాటిని మరొక భాగానికి సరిగ్గా గుర్తించింది. ఈ దుర్బలత్వాలు స్ప్రింగ్-కోర్‌లో కనుగొనబడనందున, అవి సూత్రప్రాయంగా ఫ్రేమ్‌వర్క్‌లో లేవని వాదించలేము మరియు ఓపెన్ సోర్స్ సాధనాలు ఈ దుర్బలత్వాలను సరిగ్గా ఎత్తి చూపాయి (అవి కొంచెం తప్పాయి).

కనుగొన్న

మనం చూడగలిగినట్లుగా, మాన్యువల్ రివ్యూ ద్వారా గుర్తించబడిన దుర్బలత్వాల విశ్వసనీయతను నిర్ణయించడం నిస్సందేహమైన ఫలితాలను ఇవ్వదు, అందుకే వివాదాస్పద సమస్యలు తలెత్తుతాయి. ఫలితాలు Nexus IQ పరిష్కారం అత్యల్ప తప్పుడు సానుకూల రేటు మరియు అత్యధిక ఖచ్చితత్వాన్ని కలిగి ఉంది.

అన్నింటిలో మొదటిది, సోనాటైప్ బృందం దాని డేటాబేస్‌లలో NVD నుండి ప్రతి CVE దుర్బలత్వానికి సంబంధించిన వివరణను విస్తరించింది, ఇది అదనపు పరిశోధనను నిర్వహించడం (ఉదాహరణకు, ఉదాహరణకు, క్లాస్ లేదా ఫంక్షన్‌కు సంబంధించిన నిర్దిష్ట వెర్షన్ భాగాలకు హానిని సూచిస్తుంది. , పాత సాఫ్ట్‌వేర్ సంస్కరణల్లో దుర్బలత్వాలను తనిఖీ చేయడం).

ఫలితాలపై ముఖ్యమైన ప్రభావం NVDలో చేర్చబడని దుర్బలత్వాల ద్వారా కూడా ప్లే చేయబడుతుంది, అయితే సోనాటైప్ డేటాబేస్‌లో SONATYPE గుర్తుతో ఉన్నాయి. నివేదిక ప్రకారం ఓపెన్ సోర్స్ సెక్యూరిటీ వల్నరబిలిటీస్ స్టేట్ 2020 కనుగొనబడిన ఓపెన్ సోర్స్ దుర్బలత్వాలలో 45% NVDకి నివేదించబడలేదు. వైట్‌సోర్స్ డేటాబేస్ ప్రకారం, NVD వెలుపల నివేదించబడిన ఓపెన్ సోర్స్ వల్నరబిలిటీలలో కేవలం 29% మాత్రమే అక్కడ ప్రచురించబడతాయి, అందుకే ఇతర వనరులలో కూడా దుర్బలత్వాలను వెతకడం చాలా ముఖ్యం.

ఫలితంగా, డిపెండెన్సీ చెక్ చాలా శబ్దాన్ని ఉత్పత్తి చేస్తుంది, కొన్ని హాని కలిగించే భాగాలను కోల్పోతుంది. డిపెండెన్సీ ట్రాక్ తక్కువ శబ్దాన్ని ఉత్పత్తి చేస్తుంది మరియు పెద్ద సంఖ్యలో భాగాలను గుర్తిస్తుంది, ఇది వెబ్ ఇంటర్‌ఫేస్‌లో కళ్ళకు హాని కలిగించదు.

అయినప్పటికీ, పరిపక్వమైన DevSecOps వైపు ఓపెన్ సోర్స్ మొదటి దశలుగా మారాలని అభ్యాసం చూపిస్తుంది. SCAను డెవలప్‌మెంట్‌లో ఏకీకృతం చేసేటప్పుడు మీరు ఆలోచించాల్సిన మొదటి విషయం ఏమిటంటే, మీ సంస్థలో ఆదర్శ ప్రక్రియలు ఎలా ఉండాలనే దాని గురించి మేనేజ్‌మెంట్ మరియు సంబంధిత విభాగాలతో కలిసి ఆలోచించడం. మీ సంస్థ కోసం, మొదట, డిపెండెన్సీ చెక్ లేదా డిపెండెన్సీ ట్రాక్ అన్ని వ్యాపార అవసరాలను కవర్ చేస్తుంది మరియు అభివృద్ధి చెందుతున్న అప్లికేషన్‌ల సంక్లిష్టత కారణంగా ఎంటర్‌ప్రైజ్ సొల్యూషన్‌లు తార్కిక కొనసాగింపుగా మారవచ్చు.

అనుబంధం A: కాంపోనెంట్ ఫలితాలు
సూచిక:

• కాంపోనెంట్‌లో అధిక-అధిక మరియు క్లిష్టమైన స్థాయి దుర్బలత్వాలు
• మధ్యస్థం — కాంపోనెంట్‌లో మీడియం క్రిటిలిటీ లెవెల్ యొక్క దుర్బలత్వాలు
• నిజం — నిజమైన సానుకూల సమస్య
• తప్పు - తప్పుడు సానుకూల సమస్య

భాగం
Nexus IQ
డిపెండెన్సీ చెక్
డిపెండెన్సీ ట్రాక్
ఫలితంగా

dom4j: 1.6.1
అధిక
అధిక
అధిక
TRUE

log4j-core: 2.3
అధిక
అధిక
అధిక
TRUE

log4j: 1.2.14
అధిక
అధిక
-
TRUE

సాధారణ సేకరణలు:3.1
అధిక
అధిక
అధిక
TRUE

commons-fileupload:1.3.2
అధిక
అధిక
అధిక
TRUE

commons-beanutils:1.7.0
అధిక
అధిక
అధిక
TRUE

commons-codec:1:10
మీడియం
-
-
TRUE

mysql-connector-java:5.1.42
అధిక
అధిక
అధిక
TRUE

వసంత-వ్యక్తీకరణ:3.0.5
అధిక
భాగం కనుగొనబడలేదు

TRUE

వసంత-వెబ్:3.0.5
అధిక
భాగం కనుగొనబడలేదు
అధిక
TRUE

వసంత-సందర్భం:3.0.5
మీడియం
భాగం కనుగొనబడలేదు
-
TRUE

స్ప్రింగ్-కోర్: 3.0.5
మీడియం
అధిక
అధిక
TRUE

struts2-config-browser-plugin:2.3.30
మీడియం
-
-
TRUE

వసంత-tx:3.0.5
-
అధిక
-
FALSE

స్ట్రట్స్-కోర్:1.3.8
అధిక
అధిక
అధిక
TRUE

xwork-core: 2.3.30
అధిక
-
-
TRUE

స్ట్రట్స్2-కోర్: 2.3.30
అధిక
అధిక
అధిక
TRUE

స్ట్రట్స్-ట్యాగ్లిబ్:1.3.8
-
అధిక
-
FALSE

స్ట్రట్స్-టైల్స్-1.3.8
-
అధిక
-
FALSE

అనుబంధం B: దుర్బలత్వ ఫలితాలు
సూచిక:

• కాంపోనెంట్‌లో అధిక-అధిక మరియు క్లిష్టమైన స్థాయి దుర్బలత్వాలు
• మధ్యస్థం — కాంపోనెంట్‌లో మీడియం క్రిటిలిటీ లెవెల్ యొక్క దుర్బలత్వాలు
• నిజం — నిజమైన సానుకూల సమస్య
• తప్పు - తప్పుడు సానుకూల సమస్య

భాగం
Nexus IQ
డిపెండెన్సీ చెక్
డిపెండెన్సీ ట్రాక్
తీవ్రత
ఫలితంగా
వ్యాఖ్యను

dom4j: 1.6.1
CVE-2018-1000632
CVE-2018-1000632
CVE-2018-1000632
అధిక
TRUE

CVE-2020-10683
CVE-2020-10683
CVE-2020-10683
అధిక
TRUE

log4j-core: 2.3
CVE-2017-5645
CVE-2017-5645
CVE-2017-5645
అధిక
TRUE

CVE-2020-9488
CVE-2020-9488
CVE-2020-9488
తక్కువ
TRUE

log4j: 1.2.14
CVE-2019-17571
CVE-2019-17571
-
అధిక
TRUE

-
CVE-2020-9488
-
తక్కువ
TRUE

SONATYPE-2010-0053
-
-
అధిక
TRUE

సాధారణ సేకరణలు:3.1
-
CVE-2015-6420
CVE-2015-6420
అధిక
FALSE
నకిలీలు RCE(OSSINDEX)

-
CVE-2017-15708
CVE-2017-15708
అధిక
FALSE
నకిలీలు RCE(OSSINDEX)

SONATYPE-2015-0002
RCE (OSSINDEX)
RCE(OSSINDEX)
అధిక
TRUE

commons-fileupload:1.3.2
CVE-2016-1000031
CVE-2016-1000031
CVE-2016-1000031
అధిక
TRUE

SONATYPE-2014-0173
-
-
మీడియం
TRUE

commons-beanutils:1.7.0
CVE-2014-0114
CVE-2014-0114
CVE-2014-0114
అధిక
TRUE

-
CVE-2019-10086
CVE-2019-10086
అధిక
FALSE
దుర్బలత్వం 1.9.2+ వెర్షన్‌లకు మాత్రమే వర్తిస్తుంది

commons-codec:1:10
SONATYPE-2012-0050
-
-
మీడియం
TRUE

mysql-connector-java:5.1.42
CVE-2018-3258
CVE-2018-3258
CVE-2018-3258
అధిక
TRUE

CVE-2019-2692
CVE-2019-2692
-
మీడియం
TRUE

-
CVE-2020-2875
-
మీడియం
FALSE
CVE-2019-2692 వలె అదే దుర్బలత్వం, కానీ గమనికతో “దాడులు అదనపు ఉత్పత్తులను గణనీయంగా ప్రభావితం చేయవచ్చు”

-
CVE-2017-15945
-
అధిక
FALSE
mysql-connector-javaకి సంబంధించినది కాదు

-
CVE-2020-2933
-
తక్కువ
FALSE
CVE-2020-2934 యొక్క నకిలీ

CVE-2020-2934
CVE-2020-2934
-
మీడియం
TRUE

వసంత-వ్యక్తీకరణ:3.0.5
CVE-2018-1270
భాగం కనుగొనబడలేదు
-
అధిక
TRUE

CVE-2018-1257
-
-
మీడియం
TRUE

వసంత-వెబ్:3.0.5
CVE-2016-1000027
భాగం కనుగొనబడలేదు
-
అధిక
TRUE

CVE-2014-0225
-
CVE-2014-0225
అధిక
TRUE

CVE-2011-2730
-
-
అధిక
TRUE

-
-
CVE-2013-4152
మీడియం
TRUE

CVE-2018-1272
-
-
అధిక
TRUE

CVE-2020-5398
-
-
అధిక
TRUE
IQకి అనుకూలంగా ఒక సచిత్ర ఉదాహరణ: "సోనాటైప్ భద్రతా పరిశోధన బృందం ఈ దుర్బలత్వం వెర్షన్ 3.0.2.రిలీజ్‌లో ప్రవేశపెట్టబడిందని మరియు సలహాలో పేర్కొన్న విధంగా 5.0.x కాదు అని కనుగొంది."

CVE-2013-6429
-
-
మీడియం
TRUE

CVE-2014-0054
-
CVE-2014-0054
మీడియం
TRUE

CVE-2013-6430
-
-
మీడియం
TRUE

వసంత-సందర్భం:3.0.5
CVE-2011-2894
భాగం కనుగొనబడలేదు
-
మీడియం
TRUE

స్ప్రింగ్-కోర్: 3.0.5
-
CVE-2011-2730
CVE-2011-2730
అధిక
TRUE

CVE-2011-2894
CVE-2011-2894
CVE-2011-2894
మీడియం
TRUE

-
-
CVE-2013-4152
మీడియం
FALSE
స్ప్రింగ్-వెబ్‌లో అదే దుర్బలత్వం యొక్క నకిలీ

-
CVE-2013-4152
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్ కాంపోనెంట్‌కు సంబంధించినది

-
CVE-2013-6429
CVE-2013-6429
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్ కాంపోనెంట్‌కు సంబంధించినది

-
CVE-2013-6430
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్ కాంపోనెంట్‌కు సంబంధించినది

-
CVE-2013-7315
CVE-2013-7315
మీడియం
FALSE
CVE-2013-4152 నుండి స్ప్లిట్. + దుర్బలత్వం స్ప్రింగ్-వెబ్ కాంపోనెంట్‌కు సంబంధించినది

-
CVE-2014-0054
CVE-2014-0054
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్ కాంపోనెంట్‌కు సంబంధించినది

-
CVE-2014-0225
-
అధిక
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్ కాంపోనెంట్‌కు సంబంధించినది

-
-
CVE-2014-0225
అధిక
FALSE
స్ప్రింగ్-వెబ్‌లో అదే దుర్బలత్వం యొక్క నకిలీ

-
CVE-2014-1904
CVE-2014-1904
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్-ఎంవిసి కాంపోనెంట్‌కు సంబంధించినది

-
CVE-2014-3625
CVE-2014-3625
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్-ఎంవిసి కాంపోనెంట్‌కు సంబంధించినది

-
CVE-2016-9878
CVE-2016-9878
అధిక
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్-ఎంవిసి కాంపోనెంట్‌కు సంబంధించినది

-
CVE-2018-1270
CVE-2018-1270
అధిక
FALSE
వసంత-వ్యక్తీకరణ/వసంత-సందేశాల కోసం

-
CVE-2018-1271
CVE-2018-1271
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-వెబ్-ఎంవిసి కాంపోనెంట్‌కు సంబంధించినది

-
CVE-2018-1272
CVE-2018-1272
అధిక
TRUE

CVE-2014-3578
CVE-2014-3578 (OSSINDEX)
CVE-2014-3578
మీడియం
TRUE

SONATYPE-2015-0327
-
-
తక్కువ
TRUE

struts2-config-browser-plugin:2.3.30
SONATYPE-2016-0104
-
-
మీడియం
TRUE

వసంత-tx:3.0.5
-
CVE-2011-2730
-
అధిక
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు

-
CVE-2011-2894
-
అధిక
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు

-
CVE-2013-4152
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు

-
CVE-2013-6429
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు

-
CVE-2013-6430
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు

-
CVE-2013-7315
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు

-
CVE-2014-0054
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు

-
CVE-2014-0225
-
అధిక
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు

-
CVE-2014-1904
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు

-
CVE-2014-3625
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు

-
CVE-2016-9878
-
అధిక
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు

-
CVE-2018-1270
-
అధిక
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు

-
CVE-2018-1271
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు

-
CVE-2018-1272
-
మీడియం
FALSE
దుర్బలత్వం స్ప్రింగ్-txకి ప్రత్యేకమైనది కాదు

స్ట్రట్స్-కోర్:1.3.8
-
CVE-2011-5057 (OSSINDEX)

మీడియం
FASLE
స్ట్రట్‌లకు హాని 2

-
CVE-2012-0391 (OSSINDEX)
CVE-2012-0391
అధిక
FALSE
స్ట్రట్‌లకు హాని 2

-
CVE-2014-0094 (OSSINDEX)
CVE-2014-0094
మీడియం
FALSE
స్ట్రట్‌లకు హాని 2

-
CVE-2014-0113 (OSSINDEX)
CVE-2014-0113
అధిక
FALSE
స్ట్రట్‌లకు హాని 2

CVE-2016-1182
3VE-2016-1182
-
అధిక
TRUE

-
-
CVE-2011-5057
మీడియం
FALSE
స్ట్రట్‌లకు హాని 2

-
CVE-2012-0392 (OSSINDEX)
CVE-2012-0392
అధిక
FALSE
స్ట్రట్‌లకు హాని 2

-
CVE-2012-0393 (OSSINDEX)
CVE-2012-0393
మీడియం
FALSE
స్ట్రట్‌లకు హాని 2

CVE-2015-0899
CVE-2015-0899
-
అధిక
TRUE

-
CVE-2012-0394
CVE-2012-0394
మీడియం
FALSE
స్ట్రట్‌లకు హాని 2

-
CVE-2012-0838 (OSSINDEX)
CVE-2012-0838
అధిక
FALSE
స్ట్రట్‌లకు హాని 2

-
CVE-2013-1965 (OSSINDEX)
CVE-2013-1965
అధిక
FALSE
స్ట్రట్‌లకు హాని 2

-
CVE-2013-1966 (OSSINDEX)
CVE-2013-1966
అధిక
FASLE
స్ట్రట్‌లకు హాని 2

-
CVE-2013-2115
CVE-2013-2115
అధిక
FASLE
స్ట్రట్‌లకు హాని 2

-
CVE-2013-2134 (OSSINDEX)
CVE-2013-2134
అధిక
FASLE
స్ట్రట్‌లకు హాని 2

-
CVE-2013-2135 (OSSINDEX)
CVE-2013-2135
అధిక
FASLE
స్ట్రట్‌లకు హాని 2

CVE-2014-0114
CVE-2014-0114
-
అధిక
TRUE

-
CVE-2015-2992
CVE-2015-2992
మీడియం
FALSE
స్ట్రట్‌లకు హాని 2

-
CVE-2016-0785 (OSSINDEX)
CVE-2016-0785
అధిక
FALSE
స్ట్రట్‌లకు హాని 2

CVE-2016-1181
CVE-2016-1181
-
అధిక
TRUE

-
CVE-2016-4003 (OSSINDEX)
CVE-2016-4003
అధిక
FALSE
స్ట్రట్‌లకు హాని 2

xwork-core:2.3.30
CVE-2017-9804
-
-
అధిక
TRUE

SONATYPE-2017-0173
-
-
అధిక
TRUE

CVE-2017-7672
-
-
అధిక
FALSE
CVE-2017-9804 యొక్క నకిలీ

SONATYPE-2016-0127
-
-
అధిక
TRUE

స్ట్రట్స్2-కోర్:2.3.30
-
CVE-2016-6795
CVE-2016-6795
అధిక
TRUE

-
CVE-2017-9787
CVE-2017-9787
అధిక
TRUE

-
CVE-2017-9791
CVE-2017-9791
అధిక
TRUE

-
CVE-2017-9793
-
అధిక
FALSE
CVE-2018-1327 యొక్క నకిలీ

-
CVE-2017-9804
-
అధిక
TRUE

-
CVE-2017-9805
CVE-2017-9805
అధిక
TRUE

CVE-2016-4003
-
-
మీడియం
FALSE
Apache Struts 2.xకి 2.3.28 వరకు వర్తిస్తుంది, ఇది వెర్షన్ 2.3.30. అయితే, వివరణ ఆధారంగా, JRE 2 లేదా అంతకంటే తక్కువ ఉపయోగించినట్లయితే, CVE స్ట్రట్స్ 1.7 యొక్క ఏదైనా సంస్కరణకు చెల్లుబాటు అవుతుంది. స్పష్టంగా వారు మాకు ఇక్కడ మళ్లీ బీమా చేయాలని నిర్ణయించుకున్నారు, కానీ అది తప్పుగా కనిపిస్తోంది

-
CVE-2018-1327
CVE-2018-1327
అధిక
TRUE

CVE-2017-5638
CVE-2017-5638
CVE-2017-5638
అధిక
TRUE
2017లో Equifax హ్యాకర్లు ఉపయోగించుకున్న అదే దుర్బలత్వం

CVE-2017-12611
CVE-2017-12611
-
అధిక
TRUE

CVE-2018-11776
CVE-2018-11776
CVE-2018-11776
అధిక
TRUE

స్ట్రట్స్-ట్యాగ్లిబ్:1.3.8
-
CVE-2012-0394
-
మీడియం
FALSE
స్ట్రట్స్2-కోర్ కోసం

-
CVE-2013-2115
-
అధిక
FALSE
స్ట్రట్స్2-కోర్ కోసం

-
CVE-2014-0114
-
అధిక
FALSE
కామన్స్-బీనటిల్స్ కోసం

-
CVE-2015-0899
-
అధిక
FALSE
ట్యాగ్లిబ్‌కి వర్తించదు

-
CVE-2015-2992
-
మీడియం
FALSE
స్ట్రట్స్2-కోర్‌ను సూచిస్తుంది

-
CVE-2016-1181
-
అధిక
FALSE
ట్యాగ్లిబ్‌కి వర్తించదు

-
CVE-2016-1182
-
అధిక
FALSE
ట్యాగ్లిబ్‌కి వర్తించదు

స్ట్రట్స్-టైల్స్-1.3.8
-
CVE-2012-0394
-
మీడియం
FALSE
స్ట్రట్స్2-కోర్ కోసం

-
CVE-2013-2115
-
అధిక
FALSE
స్ట్రట్స్2-కోర్ కోసం

-
CVE-2014-0114
-
అధిక
FALSE
కామన్స్-బీనటిల్స్ కింద

-
CVE-2015-0899
-
అధిక
FALSE
పలకలకు వర్తించదు

-
CVE-2015-2992
-
మీడియం
FALSE
స్ట్రట్స్2-కోర్ కోసం

-
CVE-2016-1181
-
అధిక
FALSE
ట్యాగ్లిబ్‌కి వర్తించదు

-
CVE-2016-1182
-
అధిక
FALSE
ట్యాగ్లిబ్‌కి వర్తించదు

మూలం: www.habr.com