如何使用bomber扫描软件物料清单(SBOM)以查找安全漏洞

最新推荐文章于 2024-05-20 09:02:22 发布
最新推荐文章于 2024-05-20 09:02:22 发布
阅读量539 收藏
点赞数
文章标签: linux 运维 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2203/article/details/129283783
版权

关于bomber

bomber是一款针对软件物料清单(SBOM)的安全漏洞扫描工具,广大研究人员可以通过该工具扫描和检测软件物料清单(SBOM)。

当你向一家供应商索要了他们的一个封闭源代码产品的软件材料清单,而他们以JSON文件的形式向你提供了一份材料清单,接下来你需要怎么做呢?

我们要做的第一件事就是查看软件物料清单中列出的任意组件是否存在安全漏洞,以及这些组件具有何种许可证,这将帮助我们确认使用该产品将承担何种风险。

而bomber正好可以帮助我们,该工具可以读取任何基于JSON或XML的
CycloneDX格式,或JSON SPDX
Syft格式的SBOM,然后立刻告诉广大研究人员目标SBOM中是否存在任何安全漏洞。

支持的SBOM格式

bomber支持下列SBOM格式:

SPDX

CycloneDX

Syft

工具安装

macOS

我们可以直接使用 Homebrew来安装bomber:

brew tap devops-kung-fu/homebrew-tap

brew install devops-kung-fu/homebrew-tap/bomber

如果你不想用Homebrew安装的话,也可以直接访问该项目的【[ Releases页面](https://github.com/devops-kung-
fu/hookz/releases)】下载最新版本的bomber,例如bomber_0.1.0_darwin_all.tar.gz。

然后将bomber的代码拷贝到/usr/local/bin目录下,即可在命令行窗口中使用bomber了。

Linux

如需在Linux上安装bomber,可以直接该项目的【[ Releases页面](https://github.com/devops-kung-
fu/hookz/releases)】下载对应平台的bomber,并在本地设备上安装:

dpkg -i bomber_0.1.0_linux_arm64.deb

工具使用

我们可以直接扫描包含多个SBOM的目录,或单个SBOM。

扫描单个SBOM

bomber scan spdx.sbom.json

bomber scan --provider=xxx --username=xxx --token=xxx spdx-sbom.json

扫描整个SBOM目录

bomber scan --username=xxx --token=xxx ./sboms

输出为HTML

bomber scan bad-bom.json --output=html

输出为JSON

bomber scan bad-bom.json --output=json

最后

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:


当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,有需要的小伙伴,可以【扫下方二维码】免费领取:

网安员阿道夫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Arena1:使用SDL在C语言中编写的Bomberman小克隆-开源
04-28
控制播放器1:移动:箭头键放置炸弹:返回控制播放器2:移动:W,A,S,D放置炸弹:Tab
如何使用微软的开源工具生成 SBOM
学海无涯苦作舟的博客
10-05 2631
SBOM软件物料清单)通过列出您的代码所依赖的软件包和供应商来帮助您了解您的软件供应链。SBOM 正迅速获得发展势头,作为在现实世界供应链受到重大攻击后帮助提高安全性的一种方式。SBOM 的主要支持者之一是微软,该公司早在 2021 年 10 月就发布了针对他们这一代的方法。今年早些时候,该公司开源了其用于在 Windows、macOS 和 Linux 上生成 SBOM 的工具。在本文中,您将学习如何开始使用该项目来索引代码的依赖项。它生成与 SPDX 兼容的文档,列出项目中的文件、包和关系。
Bomberman:使用Q-Learning算法模拟经典游戏Bomberman
05-10
炸弹人 这是Bomberman使用强化学习技术“ Q-Learning”的模拟。 请参阅以获取文档。 致谢: 这个想法基于文章“用于迷宫解决的深度强化学习”
Final-Bomber:BombermanDynablaster 在 C# 中使用 XNA 重制
06-20
最终轰炸机 描述 Final-Bomber 是 Dyna Blaster (Bomberman) 重制版,使用 XNA 4.0 用 C# 开发。 目前,只能与总共 5 名玩家(人类或机器人)一起玩本地游戏。 如何编译它? 我刚刚在 Windows 7 上测试过,所以我不知道它是否可以在其他平台上运行。 如果您使用的是基于 Unix 的操作系统,请查找 Monogame。 如果您使用的是 Windows 7 或更高版本,则需要安装Microsoft XNA Game Studio 4.0 ( )。 您必须获得一个 Microsoft Visual Studio 2010 版本(Express 版本就足够了 => )。 如果使用Microsoft Visual Studio 2012,则不能直接使用XNA,还需要安装VS2010。 要在 VS2012 中使用 XNA 4.0,
Text Bomber 2000_HomeHome_SMARTBUS_bomber_
10-01
SMART HOME
SBOM 指南: 是什么及其作用
qzt961003的博客
11-06 348
行政命令指示联邦机构“发布最低限度的SBOM标准”,并界定有关“直接向购买者提供软件材料清单(SBOM)或向公共网站发布”的标准这项行政命令正在整个行业产生连锁反应,因为向美国联邦政府出售软件的供应商将越来越需要为他们提供的软件提供 SBOM。例如,对于他们购买或构建的每个软件应用程序都有一个全面的SBOM的组织可以立即识别新的零日漏洞的影响,例如 Log4j中的Log4Shell漏洞,并识别其确切位置以便更快地修复。通常,漏洞扫描是一个术语,用于发现基于以前公布的漏洞报告的软件的已知安全问题。
SPDX规范详解
phmatthaus的专栏
08-15 2962
SPDX规范详解
一文解答DevOps平台的制品库是什么
weixin_42556618的博客
08-03 612
大多数中小研发团队会选择sonatype的nexus,免费版无高可用,可以满足大部分基础业务场景。
POC检测工具-POC-bomber(二)
siu~
07-28 475
POC bomber 是一款漏洞检测/利用工具,旨在利用大量高危害漏洞的POC/EXP快速获取目标服务器权限。
ts-phaser-bomb-game:使用websockets和phaser 3的Bomberman克隆
02-03
TS相位炸弹游戏 我被迫去做的另一个大学项目。 嘿,这是什么? 这是一个服务器x客户端多人(websocket)轰炸机克隆游戏。 为什么客户中只有一个班级? 我正在使它工作,而不是可维护/可扩展,所以是的,这是XGH ...
渗透tools之POC-bomber
trampzxc的博客
09-14 908
本项目收集互联网各种危害性大的 RCE · 任意文件上传 · sql注入 等高危害且能够获取到服务器核心权限的漏洞POC/EXP,并集成在POC bomber武器库中,利用大量高危害POC对单个或多个目标进行模糊测试,以此快速获取目标服务器权限,适合在红蓝对抗或hvv中帮助红队快速找到突破口进入内网。python3 pocbomber.py -f url.txt --poc="rce.py" 扫描含有多个目标的文件并指定POC。具体参数使用python3 pocbomber.py -h。
Docker 出了个新玩意:软件物料清单
云原生实验室
05-19 381
❝本文转自博客园,原文:https://www.cnblogs.com/pengpengboshi/p/16251545.html,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang在上个月公布的 Docker Desktop v4.7.0 中,减少了一个新的 CLI 插件-docker/sbom-cli-plugin,其为 Docker ...
【高危】Linux Kernel OverlayFS 权限提升漏洞(POC公开)
murphysec的博客
05-24 642
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。将组件 scsi-nic-modules-5.18.0-0.deb11.4-alpha-generic-di 升级至 5.10.179-1 及以上版本。
Linux 三十六章
一怀明月的博客
05-17 985
信号量 sem_init sem_destroy sem_wait sem_post 基于环形队列的CP问题 环形队列的生产者消费者模型 线程池 localtime时间戳转化 mkdir系统调用 bind绑定成员函数 懒汉饿汉单例模式 懒汉模式: 饿汉模式: 懒汉和饿汉相同点: 线程池源码实现
linuxlinux中免交互命令expect原理与应用实战
最新发布
景天科技苑
05-20 1426
Expect 是基于 Tcl 的相对简单的一个免费的脚本编程工具语言,用来实现 自动和交互式任务程序进行通信,无需人的手工干预。比如 SSH、FTP 等,这些 程序正常情况都需要手工与它们进行交互,而使用 Expect 就可以模拟人手工交 互的过程,实现自动的和远程的程序交互,从而达到自动化运维的目的。
操作系统 实验13 批处理操作接口3:引用与命令替换
m0_63093530的博客
05-14 154
结果:第一个和第三个命令是错的,第二个和第四个命令是对的。echo "这是命令替换形式1...$date1"echo "$sv ++++加上另一些字符!2、输出字符串“China's panda”命令:echo China\'s panda。6、将命令date执行结果赋予变量date1。7、将命令date执行结果赋予变量date2。1、输出字符串“$Dollar”命令:echo \$Dollar。命令:date2=$(date)命令:date1=`date`
Linux:网络管理命令之ss
hhd1988的专栏
05-17 810
Linux:网络管理命令之ss
Linux的基础指令
asdssadddd的博客
05-14 945
常用选项:-f 或 --force 强行复制文件或目录, 不论目的文件或目录是否已经存在.-i 或 --interactive覆盖文件之前先询问用户.-r递归处理, 将指定目录下的文件与子目录一并处理. 若源文件或目录的形态, 不属于目录或符号链接, 则一律视为普通文件处理.-R 递归处理, 将指定目录下的文件及子目录一并处理.
使用.net编写一个炸弹人小游戏
07-08
好的,下面是一个使用.NET编写的简单炸弹人小游戏的示例代码: ```csharp using System; namespace BombermanGame { class Program { static int playerX = 0; static int playerY = 0; static bool gameOver...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值