思路
对于集成依赖关系检查,todo,形成 api、路由检查或者规划的工作思路:
-
Dependcheck 组件该命令是否可以执行?返回结果 xml。
-
调用程序 findbugs 实现应用路由扫描,输出结果到 findbugs,但是不能输入到 coverity 中,可以执行单独的程序,分析应用的路由、appkey、domain、提交人、路由,输出到 cover-build 目录中。
-
调用程序实现对 findbug(已经集成)nodejs 扫描(需要调用 findbugs 再执行),依赖关系(改造至 findbugs 中),(路由)报文的处理。
当时要求实现下图中的 3、4、5 步骤。grafeas 是基于 go 语言的 crub api,所以我们需要参考报文格式来独立实现。
最终在源码分析编译环境、依赖、开源组件、路由,实现类似于实现结构化的 api 通用元数据。
过程
第三方依赖:
owasp dependency-check (Dependency-Check Core can be used to identify if there are any known CVE vulnerabilities in libraries utilized by an application. Dependency-Check Core will automatically update required data from the Internet, such as the CVE and CPE data files from nvd.nist.gov),在线时实现以下过程:
[INFO] Checking for updates
[INFO] Skipping NVD check since last check was within 4 hours.
[INFO] Check for updates complete (23 ms)
[INFO] Analysis Started
[INFO] Finished Archive Analyzer (12 seconds)
[INFO] Finished File Name Analyzer (0 seconds)
[INFO] Finished Jar Analyzer (0 seconds)
[INFO] Finished Central Analyzer (515 seconds)
[INFO] Finished Dependency Merging Analyzer (0 seconds)
[INFO] Finished Version Filter Analyzer (0 seconds)
[INFO] Finished Hint Analyzer (0 seconds)
[INFO] Created CPE Index (1 seconds)
[INFO] Skipping CPE Analysis for npm
[INFO] Finished CPE Analyzer (2 seconds)
[INFO] Finished False Positive Analyzer (0 seconds)
[INFO] Finished NVD CVE Analyzer (1 seconds)
[INFO] Finished Vulnerability Suppression Analyzer (0 seconds)
[INFO] Finished Dependency Bundling Analyzer (0 seconds)
[INFO] Analysis Complete (533 seconds)
依赖于在线分析,结果为 XML, JSON, HTML, VULN, ALL 文件格式,需要进行格式化。
这里的结果最终输出如何合入统一 api 或者报表展示?
路由
当前实现了通过字节码分析对 spring 项目的依赖注解形式的软件的 url,参数识别,生成文件格式。
目前是基于 findbugs 做,因为基于 ci 扫描的才能识别,不能只能在运行时才可以,结果是 json、html、xml。也需要格式化
编译检查
检查编译命令各种 sh.
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于