Jar 组件自动化风险监测和升级实践

于 2023-01-06 13:54:50 发布
阅读量331 收藏
点赞数
文章标签: jar 自动化 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2203/article/details/128577616
版权
本文介绍了Qunar安全组在Jar组件自动化风险监测和升级的实践,包括安全通告监控、Jar资产收集、SOAR(安全编排自动化与响应)和TCDEV自动升级服务,旨在提高安全运营效率,减轻业务线负担。
摘要由CSDN通过智能技术生成

背景

以 Xstream、Jackson、Fasjson 等为代表的 Jar 组件高危漏洞层出不穷,安全组每年 N 次推动业务线进行第三方 Jar 组件升级,每次升级动辄涉及成百上千个应用服务,给双方都带来了沉重的负担。为了降低安全组在 Jar 组件升级期间的工作量,同时尽量给业务线减负,Qunar 安全组在 Jar 组件自动化风险监测和升级上进行了大量实践,并总结形成了一套相对完善的解决方案。本主主要聊一下 Qunar 安全组在 Jar 组件自动化风险监测和升级方面的探索和实践。

流程介绍

Jar 组件风险监测和升级本质是由风险情报驱动的一个工作流,主要包括外部安全通告监控、Jar 组件资产收集、受影响资产分析、通知业务线升级等流程。在之前一段时期,Jar 组件漏洞升级依靠安全运营人员人工的方式来串联每个流程,这样效率低下,甚至容易出错。随着 SOAR(安全编排自动化与响应)近年来的备受关注,Qunar 安全组也在 SOAR 项目上进行了建设,依托 SOAR 对事件的整合和安全服务串联能力,我们针对 Jar 组件风险监测和升级场景进行了合理编排,达到了自动化的效果,极大提升了安全运营效率。除此之外基础架构的同事,提供了 TCDEV 自动升级服务,为业务线升级操作提供了极大便利。事件流程如下图所示:

技术实现

本部分主要介绍 SOAR 串联的每部分安全工具、服务的技术实现。

1. 安全通告监控

安全运营人员第一时间获取漏洞通告,对漏洞的评估研判

最低0.47元/天 解锁文章
AIGC阿道夫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
监控jar(服务端源码,作者shyFly)
07-05
这是一个小程序,闲着无聊写的跟同事玩的。可以监控别人电脑的服务端,swing写的可直接运行jar。需要联合客户端,服务端一起用。客户端:https://download.csdn.net/download/qq_37527048/10521912 服务端:https://download.csdn.net/download/qq_37527048/10521926 客户端源码:https://download.csdn.net/download/qq_37527048/10521940 地址找不到的话搜索:监控jar(服务端,作者shyFly) 服务端可对此客户端实时监控,对话聊天,拷贝客户端电脑文件,客户端无感知,客户端运行后会自动拷贝自己,并添加开机启动。
监控jar(客户端源码,作者shyFly)
07-05
这是一个小程序,闲着无聊写的跟同事玩的。这是一个可以监控别人电脑的服务端,swing写的可直接运行jar。需要联合客户端,服务端一起用。客户端:https://download.csdn.net/download/qq_37527048/10521912 服务端:https://download.csdn.net/download/qq_37527048/10521926 源码请搜索(监控jar服务端源码,作者shyFly 地址找不到的话搜索:监控jar(服务端,作者shyFly) 服务端可对此客户端实时监控,对话聊天,拷贝客户端电脑文件,客户端无感知,客户端运行后会自动拷贝自己,并添加开机启动。
测试总结---组件的更新
Fortune_yang的博客
06-14 313
最近在测试org tab的初期,忽视了很多问题,所以今天来总结一下:1. 某一个组件的状态更新在一个组件中切换选项由A至B(不点击update按钮之类的元素去更新),然后切换页数bug: 切换页数以后,页面的选项变成了B预期结果:页面应该显示A原因:该组件的状态没有更新2. 不在第一页更新选项一个页面有很多页,在第一页更新org选项时,一切都可以正常工作,但是当不在第一页更新org时,页面显示的数...
安全测试-101-Linux内核和组件在线升级
流花飞羽的专栏
04-12 150
前言: 在进行安全测试工作中,系统和组件的漏洞扫描,往往会因为版本低的原因而扫描出漏洞,对于centos系统如果出现了漏洞bug,可以选择一下的在线升级方法。 前提:可访问外网 检查已安装的内核版本,执行命令: #uname -sr 2. 更新仓库,执行命令: #yum -y update 3. 在CentOS 7 上启用 ELRepo 仓库,执行命令: # rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org # rpm
记账本项目03-组件测试
weixin_41746688的博客
03-13 810
一、测试是什么和重要性 高质量的代码 更早的发现bug,减少成本 让重构和升级更加容易和可靠 让开发流程更加的敏捷 二、测试金字塔 UI:E to E test 模拟真实的用户场景 service test:(容器组件测试) unit:单元测试(UI组件测试) 三、React适合单元测试的原因 组件化 functional component 单向数据流 四、通用测试框架-Jest 断言库:判断一个值是否对应相应的结果 使用方法:npm test src/xxx.js 五、react测试工具-enzyme
google zxing 二维码jar包和BtSDK蓝牙开发 必备
11-09
本资源包包含了两个关键组件:ZXing(Zebra Crossing)二维码库的jar包和BtSDK蓝牙开发套件。 **ZXing(Zebra Crossing)二维码库**: ZXing是一个开源的、跨平台的条码解码库,它支持多种类型的条码和二维码,如QR...
电信采信项目源码和依赖jar包
02-17
"jar包"标签进一步强调了Java技术栈的使用,同时表明这个项目依赖于一些外部组件,这些组件已经被打包成jar文件,可以直接引入到项目中。在实际开发中,管理这些依赖通常会用到构建工具,如Maven或Gradle,它们可以...
commons-fileupload和commons-io的jar包
10-26
1. **文件操作**:提供了创建、复制、移动、删除、比较和监测文件或目录的便捷方法。 2. **流操作**:支持转换、过滤、读写、填充和清空流,以及读取和写入文件内容到流。 3. **字符集处理**:方便地处理字符编码...
javamelody性能监控jar和war
03-10
1. **JavaMelody.jar**: 这是JavaMelody的核心库,包含了所有必要的监控组件和实现。在你的Web应用中,你需要将这个jar文件添加到类路径中,以便JavaMelody能够自动启动并开始监控。它通过拦截Servlet请求来收集数据...
aspectjrt-1.6.9.jar
10-20
2. **性能监控**:可以监测和分析代码执行的性能,例如记录方法的执行时间。 3. **安全性**:通过切面控制访问权限,限制对敏感资源的访问。 4. **事务管理**:自动处理数据库事务,确保数据的一致性。 总的来说,...
扫描jar包工具
04-27
java -jar jarscan.jar 查看help信息,可以快速扫描目标文件夹下jar包所包含的class文件相关信息
开源运行监控工具推荐 — JavaMelody
tattarrattat的专栏
08-21 2596
<br />JavaMelody能够在QA和实际运行生产环境监测Java或Java EE应用程序服务器。并以图表的形式显示:Java内存和Java CPU使用情况,用户Session数量,JDBC连接数,和http请求、sql请求、jsp页面与业务接口方法(EJB3、Spring、 Guice)的执行数量,平均执行时间,错误百分比等。图表可以按天,周,月,年或自定义时间段查看。 <br /> 使用配置如下: <br /> <br />部署步骤如下: <br /><br /><br />
工程jar包升级的问题
黄彪博客
12-04 2120
在工作遇到了关于升级jar包的问题,由于JAR包原因导致程序不能正常运行,因此把原来的jar包删除掉而使用最新的jar文件   问题:今天直接在文件夹中将JAR文件移除了,然后把升级JAR包放在lib目录下(没有通过eclipse删除),刷新工程,运行工程的main函数,结果报错,发现所有的java文件全部没有报错,只是工程出现错误,运行的时候提示“之前的jar包名”没有找到。   解
Java项目代码依赖包安全漏洞检测插件Dependency Check
热门推荐
QC班长的博客
01-11 1万+
最近在搞Java的后端项目,需要更新jar依赖包,找到了一个jar包漏洞检测的插件Dependency Check。 Dependency-Check是OWASP(Open WebApplication Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。官网地址:OWASP Depen
python好用的流程引擎_在Python环境下比较好的工作流引擎是什么?
weixin_39623750的博客
02-03 1643
CSDN:FixFlow 和类似的软件如 Activiti jBPM 等相比起来,它们之间有哪些区别呢?FFDT:FixFlow 更加符合中国国情,支持复杂任务流转,如转发、退回、自由跳转、会签等处理,可以大大减少二次开发工作量。它还提供更加友好的设计器界面,可视化的连接器,还有中文的社区支持和有开发人员参与的技术交流群。由于开源时间不长,FixFlow 的文档没有其他产品那么齐全,网上的相关技术...
引入 prometheus + grafana 对 Jar 包监控
wzh
10-04 1272
引入 prometheus + grafana 对 Jar 包监控
Jar包升级要点经验总结
最新发布
qq_16298769的博客
10-27 2210
1.由于2.7之前的坐标是阿里的groupId,其它一些jar包中可能会包含dubbo的依赖,需要把其它jar包里的dubbo给去掉。在工作中常有一些jar包因为一些原因,比如fastjson包的安全漏洞升级,dubbo jar包因业务需要升级到更高版本的jar包,则需要做以下工作。2.找出jar包本身更改的点。因此最直观的就是jar包的坐标要升级。一般来说,可以直接比较两个jar包的pom文件,看下两个jar包的依赖的升级点。在更改jar包之后,随机抽取一些功能点做测试,调接口看是否有变化。
基于springboot的自动更新jar
博客
02-22 3515
序 桌面应用很多都能后台自动更新, 而springboot,或者使用tomcat部署,或者jar部署 要搭建个自动化的发布部署需要很多很复杂,所以有了这个简单的方法来摆脱多服务器的部署需求 自动更新的整个流程 定时检查有没有更新 读取本地jar文件中的版本号,和线上版本对比,有更新就开始下载 下载后对下载文件进行大小验证,判断是否下载成功 对文件进行解密处理 校验文件的SHA1是否一直 关闭当前系统 复制下载好的更新文件到运行目录,重启启动系统 完成更新 1.检查更新,对比版本号 我们在打包生成j
Gradle自动化构建与Jenkins整合实践
综上,这份PPT详细介绍了如何利用Gradle进行项目自动化构建,包括基本概念、操作命令、构建流程定制以及与其他工具(如Jenkins和Lint)的集成,对于理解和实践Gradle自动化构建具有很高的参考价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值