代碼依賴包安全漏洞檢測(cè)神器—Dependency Check
目前各個(gè)企業(yè)對(duì)于應(yīng)用的安全越來(lái)越重視,而解決應(yīng)用漏洞的本質(zhì)是從代碼安全抓起。通常關(guān)于代碼的安全問(wèn)題有兩類:代碼本身的安全問(wèn)題和代碼依賴包存在的安全問(wèn)題。對(duì)于代碼本身的安全問(wèn)題,我們可以通過(guò)靜態(tài)代碼分析工具解決。
而對(duì)于代碼依賴包的安全問(wèn)題是我們這篇文章重點(diǎn)解決的事情,業(yè)界通常使用Dependency-Check來(lái)檢查代碼中是否存在任何已知的,公開披露的安全漏洞。他檢查依賴項(xiàng)中是否存在漏洞的原理也跟我們熟知的病毒查殺軟件一樣,預(yù)先定義好目前已知的安全漏洞庫(kù),檢查依賴包時(shí),發(fā)現(xiàn)這些漏洞就會(huì)報(bào)錯(cuò),最后定期更新安全漏洞庫(kù)即可!
工具介紹:
Dependency-Check
Dependency-Check是OWASP(Open WebApplication Security Project)的一個(gè)實(shí)用開源程序,用于識(shí)別項(xiàng)目依賴項(xiàng)并檢查是否存在任何已知的,公開披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等語(yǔ)言編寫的程序,并為C/C++構(gòu)建系統(tǒng)(autoconf和cmake)提供了有限的支持。而且該工具還是OWASP Top 10的解決方案的一部分。
NVD
Dependency-Check依賴NVD漏洞數(shù)據(jù)庫(kù)(美國(guó)國(guó)家通用漏洞數(shù)據(jù)庫(kù))進(jìn)行依賴漏洞檢查(全球信息安全領(lǐng)域著名的漏洞數(shù)據(jù)庫(kù)包括中國(guó)國(guó)家信息安全漏洞庫(kù),美國(guó)國(guó)家信息安全漏洞庫(kù)NVD,賽門鐵克漏洞庫(kù)等等)官網(wǎng):https://nvd.nist.gov/
NVD的更新頻率是出現(xiàn)問(wèn)題實(shí)時(shí)更新,具體鏈接:
https://nvd.nist.gov/general/nvd-dashboard
CVSS
NVD評(píng)級(jí)依賴CVSS(CommonVulnerability Scoring System),即“通用漏洞評(píng)分系統(tǒng)”,是一個(gè)“行業(yè)公開標(biāo)準(zhǔn),其被設(shè)計(jì)用來(lái)評(píng)測(cè)漏洞的嚴(yán)重程度,并幫助確定所需反應(yīng)的緊急度和重要度,具體評(píng)分標(biāo)準(zhǔn)如下:
目前主要參考cvss v3.0,具體級(jí)別的漏洞數(shù)目如下圖所示:
使用方法
命令行方式
命令行方式建議測(cè)試人員使用,可以在沒有源碼的情況下進(jìn)行代碼安全檢測(cè)。
Dependency-Check工具下載地址
https://owasp.org/www-project-dependency-check/,在右側(cè)選擇command line,如下圖:
默認(rèn)方式
下載解壓后進(jìn)入bin文件夾,在windows系統(tǒng)下執(zhí)行命令:
dependency-check.bat --disableRetireJS --disableNodeJS --project test -s D:\checkjar\-o D:\report\
其中:
-project代表工程名
–s代表檢查的jar包文件夾,把需要檢查的jar包放到該目錄下即可
–o代表報(bào)表輸出的路徑
--disableRetireJS不檢查js,
--disableNodeJS不檢查nodejs
本地NVD庫(kù)方式
我們可以在本地搭建一個(gè)NVD庫(kù)來(lái)提高更新效率,
具體可以參考
https://jeremylong.github.io/DependencyCheck/data/mirrornvd.html
使用本地nvd庫(kù),具體命令如下:
dependency-check.bat
--cveUrlModified 本地nvd庫(kù)的
url/nvdcve-1.1-modified.json.gz
--cveUrlBase本地nvd庫(kù)的
url/nvdcve-1.1-2020.json.gz
--project test -s D:\checkjar\ -oD:\report\
其中–cveUrlModified和–cveUrlModified指定本地NVD庫(kù)
注意,如果執(zhí)行命令失敗,重新執(zhí)行一次就OK!
報(bào)告分析
生成的報(bào)表文件如下圖,一般只需關(guān)注HighestSeverity 列中的CRITICAL和HIGH級(jí)別漏洞,可以看到檢測(cè)出2個(gè)jar包存在高危漏洞。
點(diǎn)擊具體jar包,可以看到具體的修復(fù)方案,如下所示:
報(bào)告中的含義是jackson-xc-1.8.3jar是有安全問(wèn)題的,這個(gè)問(wèn)題在2.8.10和2.9.1版本之前是存在的,所以我們只要把jar包升級(jí)到2.9.1版本以上即可修復(fù)這個(gè)問(wèn)題!
配置Maven插件方式
該方式建議開發(fā)人員使用,通過(guò)maven方式檢測(cè)依賴包中是否存在安全問(wèn)題則需要修改較多pom中的內(nèi)容。
https://search.maven.org/artifact/org.owasp/dependency-check-maven/5.3.2/maven-plugin
總結(jié)
一般來(lái)說(shuō)對(duì)于代碼依賴包的安全問(wèn)題是由開發(fā)自己測(cè)試的,如果我們測(cè)試想要介入的話使用命令行方式即可,把需要檢查的jar包放到指定的目錄中,然后對(duì)所有jar包進(jìn)行整體掃描。原創(chuàng)不易,如果文章幫到了你,歡迎轉(zhuǎn)發(fā)點(diǎn)贊,讓更多的朋友受益!
