GitlabCI में प्रयुक्त निर्भरता-जाँच पुस्तकालयों में कमजोरता स्कैनर का उपयोग करना

भेद्यता प्रबंधन का एक महत्वपूर्ण हिस्सा उन सॉफ्टवेयर घटकों की आपूर्ति श्रृंखला की सुरक्षा को समझना और सुनिश्चित करना है जो आधुनिक सिस्टम बनाते हैं। चुस्त टीम और DevOps विकास के समय और लागत को कम करने के लिए खुले स्रोत पुस्तकालयों और चौखटों का व्यापक उपयोग करते हैं। लेकिन इस पदक में एक नकारात्मक पहलू है: अन्य लोगों की गलतियों और कमजोरियों को प्राप्त करने की क्षमता।

जाहिर है, टीम को पता होना चाहिए कि उसके अनुप्रयोगों में कौन से खुले स्रोत घटक शामिल हैं, यह सुनिश्चित करें कि ज्ञात विश्वसनीय संस्करणों को विश्वसनीय विश्वसनीय स्रोतों से डाउनलोड किया जाए, और नए खोजे गए कमजोरियों को ठीक करने के बाद घटकों के अपडेट किए गए संस्करणों को डाउनलोड करें।

इस पोस्ट में, हम OWASP डिपेंडेंसी चेक का उपयोग करते हुए एक निर्माण को बाधित करने के लिए देखेंगे यदि यह आपके कोड के साथ गंभीर समस्याओं का सामना करता है।

पुस्तक "एजाइल प्रोजेक्ट्स में डेवलपमेंट सिक्योरिटी" इस प्रकार वर्णित है। OWASP निर्भरता जाँच एक निशुल्क स्कैनर है जो अनुप्रयोग में उपयोग किए गए सभी खुले स्रोत घटकों को सूचीबद्ध करता है और उनमें मौजूद कमजोरियों को दिखाता है। जावा, .NET, रूबी (रत्न), PHP (संगीतकार), Node.js और पायथन के साथ-साथ कुछ C / C ++ प्रोजेक्ट्स के लिए संस्करण हैं। निर्भरता जाँच चींटी, मावेन और ग्रैडल जैसे सामान्य बिल्ड टूल्स के साथ एकीकृत होती है, और जेनकींस जैसे निरंतर एकीकरण सर्वर।

निर्भरता एनआईएसटी नेशनल वल्नेरेबिलिटी डेटाबेस (एनवीडी) से ज्ञात भेद्यता वाले सभी घटकों की रिपोर्ट करती है और एनवीडी न्यूज चैनलों के डेटा के आधार पर अपडेट की जाती है।

सौभाग्य से, यह सब OWASP डिपेंडेंसी चेक प्रोजेक्ट जैसे उपकरण या ब्लैक डक , JFrog Xray , Snyk , Sonatype के Nexus Lifecycle , या SourceClear जैसे व्यावसायिक कार्यक्रमों का उपयोग करके स्वचालित रूप से किया जा सकता है।

इन उपकरणों को असेंबली पाइपलाइनों में शामिल किया जा सकता है ताकि वे एक खुले स्रोत निर्भरता सूची को स्वचालित रूप से संकलित कर सकें, उन पुस्तकालयों और पुस्तकालयों के अप्रचलित संस्करणों की पहचान करें जिनमें ज्ञात कमजोरियां हैं, और यदि गंभीर समस्याएं पाई जाती हैं तो निर्माण को बाधित करें।

OWASP निर्भरता की जाँच करें

यह जाँचने और प्रदर्शित करने के लिए कि डिपेंडेंसी चेक कैसे काम करता है, हम इस निर्भरता-चेक-उदाहरण रिपॉजिटरी का उपयोग करते हैं।

HTML रिपोर्ट देखने के लिए, आपको अपने gitlab-runner पर nginx वेब सर्वर को कॉन्फ़िगर करने की आवश्यकता है।

न्यूनतम नग्नेक्स विन्यास का उदाहरण:

server { listen 9999; listen [::]:9999; server_name _; root /home/gitlab-runner/builds; location / { autoindex on; } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } 

विधानसभा के अंत में, आप इस तस्वीर को देख सकते हैं:

हम लिंक का अनुसरण करते हैं और हम रिपोर्ट डिपेंडेंसी चेक देखते हैं।

पहला स्क्रीनशॉट सारांश के साथ रिपोर्ट में सबसे ऊपर है।

दूसरा स्क्रीनशॉट विवरण CVE-2017-5638। यहां हम सीवीई स्तर और कारनामों के लिंक देखते हैं।

तीसरा स्क्रीनशॉट log4j-api-2.7.jar का विवरण है। हम देखते हैं कि सीवीई 7.5 और 9.8 का स्तर।

चौथा स्क्रीनशॉट - कॉमन्स-फाइलअपलोड-1.3.2.jar का विवरण। हम देखते हैं कि सीवीई 7.5 और 9.8 का स्तर।

यदि आप gitlab पृष्ठों का उपयोग करना चाहते हैं, तो यह काम नहीं करेगा - एक गिरा हुआ कार्य एक विरूपण साक्ष्य नहीं बनाएगा।

एक उदाहरण यहाँ है https://gitlab.com/anton_patsev/d dependency- check-example- gitlab-pages ।

असेंबली निष्कर्ष: कोई कलाकृतियाँ नहीं हैं, मैं html रिपोर्ट नहीं देख रहा हूँ। हमें आर्टवर्क की कोशिश करनी चाहिए: हमेशा

https://gitlab.com/anton_patsev/dependency-check-example-gitlab-pages/-/jobs/400004246

CVE भेद्यता प्रबंधन

Gitlab-ci.yaml फ़ाइल में सबसे महत्वपूर्ण पंक्ति:

 mvn $MAVEN_CLI_OPTS test org.owasp:dependency-check-maven:check -DfailBuildOnCVSS=7 

विफलताब्यूल्डऑन सीवीएसएस पैरामीटर के साथ, आप सीवीई कमजोरियों के स्तर को नियंत्रित कर सकते हैं जिन्हें आपको जवाब देने की आवश्यकता है।

एनआईएसटी भेद्यता डेटाबेस (एनवीडी) एनआईएसटी डाउनलोड करें

आपने देखा कि आप लगातार इंटरनेट से NIST भेद्यता डेटाबेस (NVD) डाउनलोड कर रहे हैं:

आप डाउनलोड के लिए nist_data_mirror_golang उपयोगिता का उपयोग कर सकते हैं

इसे स्थापित करें और चलाएं।

 yum -y install yum-plugin-copr yum copr enable antonpatsev/nist_data_mirror_golang yum -y install nist-data-mirror systemctl start nist-data-mirror 

Nist-data-mirror डाउनलोड CVE JSON NIST से / var / www / repos / nist-data-mirror / at स्टार्टअप और हर 24 घंटे में डेटा अपडेट करता है।

CVE JSON NIST डाउनलोड करने के लिए, आपको nginx वेब सर्वर को कॉन्फ़िगर करने की आवश्यकता है (उदाहरण के लिए, अपने गिटलैब-रनवे पर)।

न्यूनतम नग्नेक्स विन्यास का उदाहरण:

 server { listen 12345; listen [::]:12345; server_name _; root /var/www/repos/nist-data-mirror/; location / { autoindex on; } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } 

एक लंबी लाइन बनाने के लिए जहां mvan शुरू नहीं हुआ है, हम एक अलग चर DEPENDENCY_OPTS में पैरामीटर जारी करेंगे।

अंतिम न्यूनतम विन्यास .itlab-ci.yml इस तरह निकलेगा:

 variables: MAVEN_OPTS: "-Dhttps.protocols=TLSv1.2 -Dmaven.repo.local=$CI_PROJECT_DIR/.m2/repository -Dorg.slf4j.simpleLogger.log.org.apache.maven.cli.transfer.Slf4jMavenTransferListener=WARN -Dorg.slf4j.simpleLogger.showDateTime=true -Djava.awt.headless=true" MAVEN_CLI_OPTS: "--batch-mode --errors --fail-at-end --show-version -DinstallAtEnd=true -DdeployAtEnd=true" DEPENDENCY_OPTS: "-DfailBuildOnCVSS=7 -DcveUrlModified=http://localhost:12345/nvdcve-1.1-modified.json.gz -DcveUrlBase=http://localhost:12345/nvdcve-1.1-%d.json.gz" cache: paths: - .m2/repository verify: stage: test script: - set +e - mvn $MAVEN_CLI_OPTS install org.owasp:dependency-check-maven:check $DEPENDENCY_OPTS || EXIT_CODE=$? - export PATH_WITHOUT_HOME=$(pwd | sed -e "s/\/home\/gitlab-runner\/builds//g") - echo "************************* URL Dependency-check-report.html *************************" - echo "http://$HOSTNAME:9999$PATH_WITHOUT_HOME/target/dependency-check-report.html" - set -e - exit ${EXIT_CODE} tags: - shell 

DevOps और सुरक्षा के बारे में टेलीग्राम चैट
टेलीग्राम चैनल DevSecOps / SSDLC -Safe विकास