供应链安全 - 我们怎么做?

本贴最后更新于 2293 天前,其中的信息可能已经天翻地覆

思路

对于集成依赖关系检查,todo,形成 api、路由检查或者规划的工作思路:

  1. Dependcheck 组件该命令是否可以执行?返回结果 xml。

  2. 调用程序 findbugs 实现应用路由扫描,输出结果到 findbugs,但是不能输入到 coverity 中,可以执行单独的程序,分析应用的路由、appkey、domain、提交人、路由,输出到 cover-build 目录中。

  3. 调用程序实现对 findbug(已经集成)nodejs 扫描(需要调用 findbugs 再执行),依赖关系(改造至 findbugs 中),(路由)报文的处理。

    当时要求实现下图中的 3、4、5 步骤。grafeas 是基于 go 语言的 crub api,所以我们需要参考报文格式来独立实现。

最终在源码分析编译环境、依赖、开源组件、路由,实现类似于实现结构化的 api 通用元数据。

过程

第三方依赖:

owasp dependency-check (Dependency-Check Core can be used to identify if there are any known CVE vulnerabilities in libraries utilized by an application. Dependency-Check Core will automatically update required data from the Internet, such as the CVE and CPE data files from nvd.nist.gov),在线时实现以下过程:

[INFO] Checking for updates

[INFO] Skipping NVD check since last check was within 4 hours.

[INFO] Check for updates complete (23 ms)

[INFO] Analysis Started

[INFO] Finished Archive Analyzer (12 seconds)

[INFO] Finished File Name Analyzer (0 seconds)

[INFO] Finished Jar Analyzer (0 seconds)

[INFO] Finished Central Analyzer (515 seconds)

[INFO] Finished Dependency Merging Analyzer (0 seconds)

[INFO] Finished Version Filter Analyzer (0 seconds)

[INFO] Finished Hint Analyzer (0 seconds)

[INFO] Created CPE Index (1 seconds)

[INFO] Skipping CPE Analysis for npm

[INFO] Finished CPE Analyzer (2 seconds)

[INFO] Finished False Positive Analyzer (0 seconds)

[INFO] Finished NVD CVE Analyzer (1 seconds)

[INFO] Finished Vulnerability Suppression Analyzer (0 seconds)

[INFO] Finished Dependency Bundling Analyzer (0 seconds)

[INFO] Analysis Complete (533 seconds)

依赖于在线分析,结果为 XML, JSON, HTML, VULN, ALL 文件格式,需要进行格式化。

这里的结果最终输出如何合入统一 api 或者报表展示?

路由

当前实现了通过字节码分析对 spring 项目的依赖注解形式的软件的 url,参数识别,生成文件格式。

目前是基于 findbugs 做,因为基于 ci 扫描的才能识别,不能只能在运行时才可以,结果是 json、html、xml。也需要格式化

编译检查

检查编译命令各种 sh.

实现

  • 安全

    安全永远都不是一个小问题。

    200 引用 • 816 回帖
  • 资讯

    资讯是用户因为及时地获得它并利用它而能够在相对短的时间内给自己带来价值的信息,资讯有时效性和地域性。

    55 引用 • 85 回帖

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...