三方依赖库扫描系统

Posted he1m4n6a

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了三方依赖库扫描系统相关的知识,希望对你有一定的参考价值。

简介

Dependency-Check 是一款分析软件构成的工具,他会检测项目中依赖项的公开披露漏洞。Dependency-Check 常用于扫描java.NET程序,实验性的分析器有python、ruby、php以及nodejs,这些作为实验性研究是因为他们的高误报率。如果你公司主要使用c,java,这个系统作为作为上线前的扫描不乏是个好选择。

 

工作原理

  1. Dependency-Check工作的方式是通过分析器对文件进行扫描搜集信息,搜集到的信息被叫做迹象。
  2. 这边共搜集3种迹象,分时是vendor(供应商),product(产品)和version(版本)。例如,jarAnalyzer将从jar文件包中的Mainfest、pom.xml和包名进行信息搜集,然后把各种搜集到的源放到一个或者多个迹象表里。
  3. 通过搜集到的迹象和CPE条目(NVD、CVE数据索引)进行匹配,分析器匹配到了就会给个标志发送到报告。
  4. Dependency-Check 目前不使用hash识别文件,因为第三方依赖从源码中的hash值构建通常不会匹配官方发布版本的hash。后续版本中可能会增加一些hash来匹配一些常用的第三方库,例如Spring, Struts等。

常用命令

./dependency-check.sh -n --project "test" --scan "WEB-INF/lib/" -o output.html

  • -n 不更新漏洞库,默认4小时自动拉取
  • --project 项目名字
  • --scan 扫描的路径或文件(可以扫目录,也可以直接扫压缩文件,zip,war,tgz等)

.
/dependency-check.sh -n --project "test" --scan "strusts2.war" --log logfile

  • 扫描压缩文件
  • --log 日志记录

.

./dependency-check.sh --updateonly

  • --updateonly 只更新数据库

报告解读

不完整的报告截图:

技术分享图片

  • Dependency - 被扫描的第三依赖库名字
  • CPE - 所有被识别出来的CPE.
  • GAV - Maven 组, Artifact, 版本 (GAV).
  • Highest Severity - 所有关联的cve的最高漏洞等级
  • CVE Count - 关联的cve个数
  • CPE Confidence - dependency-check正确识别cpe的程度
  • Evidence Count - 识别CPE的数据个数

 

使用场景

理解了上面depency-check的原理后,应业务的需求,需要把这个开源工具二进制版本封装成web界面,可供自己和业务方调用。笔者也实现了这个功能,github地址。在业务实际使用场景:

1、如果项目迭代很快,项目很多。可以考虑配合代码管理系统,每次新发布前,自动打包文件进行扫描(报告没有修复参考,一般是推荐官方最新版包)

2、如果项目不多,或者监控重点项目。可让业务提单,安全人员进行扫描后提供结果和修复建议给到业务方

 

笔者对项目封装后的项目地址:https://github.com/he1m4n6a/dcweb,可以很方便的提交三方依赖库的压缩包进行扫描即可。

 

以上是关于三方依赖库扫描系统的主要内容,如果未能解决你的问题,请参考以下文章

Gradle - 将第三方依赖项安装到本地常春藤存储库中

查看python第三方库的依赖

查看python第三方库的依赖

Dubbo -- 系统学习 笔记 -- 依赖

ERROR:AS3.5关于三方库依赖添加

一方库二方库三方库