linux git 依赖,linuxea:gitlab-ci/cd Dependency依赖扫描两种方式 (五)

最新推荐文章于 2024-04-16 10:07:58 发布
最新推荐文章于 2024-04-16 10:07:58 发布
阅读量898 收藏
点赞数
文章标签: linux git 依赖

I. Dependency

如果正在使用GitLab CI / CD,则可以使用依赖项扫描来分析已知漏洞的依赖关系,方法是将CI作业包含在现有.gitlab-ci.yml文件中,或使用Auto DevOps 提供的自动依赖项扫描

依赖扫描参考:

https://docs.gitlab.com/ee/user/project/merge_requests/dependency_scanning.html

https://docs.gitlab.com/ee/ci/examples/dependency_scanning.html

使用dependency-scanning替代Dependency-Check,我顺便介绍下Dependency-Check,在后面

https://github.com/jeremylong/DependencyCheck

支持的语言和包管理器

The following table shows which languages and package managers are supported and which tools are used.

JavaScript (npm, yarn) --->> gemnasium, Retire.js

Python (pip)--->> gemnasium

Ruby (gem)--->> gemnasium, bundler-audit

Java (Maven) --->> gemnasium

PHP (Composer) --->> gemnasium

集成GitLab

# 依赖扫描

4/8 dependency-scanning:

<<:>

script:

- export SP_VERSION=$(echo "$CI_SERVER_VERSION" | sed 's/^\([0-9]*\)\.\([0-9]*\).*/\1-\2-stable/')

- docker run --rm

--env DEP_SCAN_DISABLE_REMOTE_CHECKS="${DEP_SCAN_DISABLE_REMOTE_CHECKS:-false}"

--volume "$PWD:/code"

--volume /etc/localtime:/etc/localtime:ro

--volume /var/run/docker.sock:/var/run/docker.sock

"registry.gitlab.com/gitlab-org/security-products/dependency-scanning:$SP_VERSION" /code

- date

artifacts:

paths: [gl-dependency-scanning-report.json]

# except:

# variables:

# - $CONTAINER_SCANNING_DISABLE

so,在gitlab官网提供的镜像中,很明显的这个报:Source code language/dependency manager is not yet supported for analyze

5c1967c5325842cec010c6abd3e07965.gif

II. Dependency-Check

假如你觉得上面的那个不好用,没关系,还可以用Dependency-Check

Dependency-Check是一种软件组合分析(SCA)工具,它试图检测项目依赖项中包含的公开披露的漏洞。它通过确定给定依赖项是否存在公共平台枚举(CPE)标识符来完成此操作。如果找到,它将生成链接到相关CVE条目的报告。

文档和生产二进制版本的链接可以在github页面上找到。此外,关于体系结构的更多信息和扩展依赖性检查的方法可以在wiki上找到。

目前,支持Java和.NET; 针对Ruby,Node.js,Python以及对C / C ++构建系统(autoconf和cmake)的有限支持已添加额外的实验支持

参考:

https://jeremylong.github.io/DependencyCheck/dependency-check-cli/index.html

原本的docker脚本如下:

#!/bin/sh

OWASPDC_DIRECTORY=$HOME/OWASP-Dependency-Check

DATA_DIRECTORY="$OWASPDC_DIRECTORY/data"

REPORT_DIRECTORY="$OWASPDC_DIRECTORY/reports"

if [ ! -d "$DATA_DIRECTORY" ]; then

echo "Initially creating persistent directories"

mkdir -p "$DATA_DIRECTORY"

chmod -R 777 "$DATA_DIRECTORY"

mkdir -p "$REPORT_DIRECTORY"

chmod -R 777 "$REPORT_DIRECTORY"

fi

# Make sure we are using the latest version

docker pull owasp/dependency-check

docker run --rm \

--volume $(pwd):/src \

--volume "$DATA_DIRECTORY":/usr/share/dependency-check/data \

--volume "$REPORT_DIRECTORY":/report \

owasp/dependency-check \

--scan /src \

--format "ALL" \

--project "My OWASP Dependency Check Project" \

--out /report

# Use suppression like this: (/src == $pwd)

# --suppression "/src/security/dependency-check-suppression.xml"

ok,我们修改下集成到gitlab里面(当然,提前pull镜像 docker pull owasp/dependency-check)

集成GitLab

注意:这里有个权限问题gitlab-runner ALL=(root)NOPASSWD:/bin/chown,/bin/mkdir,/bin/chmod

5/8 dependency-check:

stage: code-check

script:

- export OWASPDC_DIRECTORY=$PWD/OWASP-Dependency-Check

- export DATA_DIRECTORY=$OWASPDC_DIRECTORY/data

- export REPORT_DIRECTORY=$OWASPDC_DIRECTORY/reports

- '[[ ! -d "$DATA_DIRECTORY" ]] || echo "Initially creating persistent directories" && mkdir -p "$DATA_DIRECTORY" && sudo chmod -R 777 "$DATA_DIRECTORY" && mkdir -p "$REPORT_DIRECTORY" && sudo chmod -R 777 "$REPORT_DIRECTORY"'

- docker run --rm

--volume $(pwd):/src

--volume "$DATA_DIRECTORY":/usr/share/dependency-check/data

--volume "$REPORT_DIRECTORY":/report

"owasp/dependency-check"

--scan /src

--format "ALL"

--project "My OWASP Dependency Check Project"

--out /report

- cp OWASP-Dependency-Check/reports/dependency-check-report.json $PWD/dependency-check-report.json

- sudo chown -R gitlab-runner.gitlab-runner ${PWD}

- date

artifacts:

paths:

- dependency-check-report.json

- OWASP-Dependency-Check/reports/

试着运行一次

5c1967c5325842cec010c6abd3e07965.gif

这里会产生几个文件

[gitlab-runner@linuxea-VM-Node_10_10_240_145 linuxea]$ ll OWASP-Dependency-Check/reports/

总用量 272

-rw-r--r-- 1 gitlab-runner gitlab-runner 223 7月 1 21:09 dependency-check-report.csv

-rw-r--r-- 1 gitlab-runner gitlab-runner 139030 7月 1 21:09 dependency-check-report.html

-rw-r--r-- 1 gitlab-runner gitlab-runner 12086 7月 1 21:09 dependency-check-report.json

-rw-r--r-- 1 gitlab-runner gitlab-runner 8964 7月 1 21:09 dependency-check-report.xml

-rw-r--r-- 1 gitlab-runner gitlab-runner 110002 7月 1 21:09 dependency-check-vulnerability.html

[gitlab-runner@DS-VM-Node_10_10_240_145 linuxea]$

下载下来即可查看

5c1967c5325842cec010c6abd3e07965.gif

打开dependency-check-report.html,如下图:

点击:Display: Showing Vulnerable Dependencies (click to show all) 即可查看

5c1967c5325842cec010c6abd3e07965.gif

除非另有说明,否则本站上的内容根据以下许可进行许可: CC署名-非商业性使用-相同方式共享4.0国际许可协议4.0进行许可

本文作者:www.linuxea.com for Mark

文章链接:http://www.linuxea.com/1837.html (转载请注明本文出处和本章链接)

徐子贡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
GitLab CI/CD .gitlab-ci.yml 关键词(九):作业依赖needs,GitLab Pages pages,制品依赖 dependencies
知无涯
08-27 3676
上一篇文章我们介绍了有助于优雅编写文件的default和inherit二个关键词,掌握这两个关键词非常有助于大家编写出格式优雅,代码复用率高,高内聚,低耦合的流水线代码。本篇文章介绍三个关键词,分别是用于处理作业依赖的needs,用于处理制品依赖的,以及用于在GitLab 发布静态网站的。熟练运用needs和能够使你的流水线运行速度更快。下面让我们一起详细了解一下吧。灵活使用关键词needs可以加快构建,让作业跳出stages的执行顺序在使用pages关键词时,需要注意作业名必须是pages。...
gitlab-ci-lint:gitlab-ci cli到lint .gitlab-ci.yml文件
04-29
gitlab-ci-lint gitlab-ci cli到lint .gitlab-ci.yml文件 用法 安装 npm install -g gitlab-ci-lint 命令行界面 Usage: gitlab-ci-lint [options] Options: -h, --help output usage information -V, --...
gitlab-ci配置详解(二)
大灰狼的小绵羊哥哥的博客
04-23 4902
jobs(任务) .gitlab-ci.yml允许用户创建无数多个任务.但是每个任务必须有一个独一无二的名字,但不能是以下保留字.一个任务是由一列参数定义的,来决定任务的工作内容和行为. job_name: # 要跑的脚本或命令列表 script: - rake spec - coverage # pipelines阶段 stage: test # 只针对哪个分支 only: - master # 除了哪个分支以外 except: - d
OWASP Dependency-Scan: 深入洞察你的代码依赖
最新发布
gitblog_00099的博客
04-16 397
OWASP Dependency-Scan: 深入洞察你的代码依赖性 项目地址:https://gitcode.com/owasp-dep-scan/dep-scan 在软件开发中,了解和管理项目的依赖关系至关重要,因为它们可能隐藏着安全漏洞和不兼容性。OWASP Dependency-Scan 是一个开源工具,旨在帮助开发者快速检测并识别这些潜在风险。本文将深入介绍该项目,解析其技术原理,并阐述...
从公司gitlab获取所有依赖jar包坐标
jingyulanye的专栏
08-09 2987
从公司gitlab获取所有java项目依赖jar包坐标背景公司“安全专员”想方便的拿到公司所有java项目依赖jar包坐标,方便他从“论坛”上发现什么jar存在安全漏洞时,及时知道我们公司是否也有对该jar包依赖,以及对应的项目和负责人。分析我们内部代码管理工具是gitlab,采用master分支发布,只需分析master依赖即可。思路是先拿到所有项目的代码,然后通过maven depende
工具包中的小工具------包扫描(包括jar包
quique的博客
07-18 271
今天的工具功能是包扫描,只需要调用指定方法,输入想要查询的包名称,就可以自动查询得到该路径下所有的类(包括jar包),该工具实现了一个抽象方法供使用者使用,用这个方法可以去筛选该包下的类达到自己的目的。 package com.mec.mpring.core; import java.io.File; import java.io.IOException; import java.net.JarURLConnection; import java.net.URISyntaxException; impor
gitlab-ci-validate:检查您的 .gitlab-ci.yml 文件是否有效
05-31
安装: yarn global add gitlab-ci-validatenpm i -g gitlab-ci-validate用法: # It will try to find if .gitlab-ci.yml is present on the current folder if no file path is provided$ gitlab-ci-validate ...
gitlab-monorepo-scripts:用于生成CICD配置的GitLab Monorepo脚本
05-19
将为monorepo项目生成GitLab CI配置的脚本。 受到 特征 生成每包CI作业 仅对更改的软件包执行作业 使用Docker进行容器化 将Node.js应用程序部署到Heroku 将静态部署到Firebase托管 这些功能可以通过yarn ...
Centos7 gitlab-ci shell使用git pull拉取代码出错原因
01-20
在自动化shell中执行了:git pull, 出现如下错误: Running with gitlab-runner 12.7.1 (003fe500) on api deploy xLVW27yp Using Shell executor... Running on VM_222_128_centos... Fetching changes with git ...
go-gitlab-client:Go语言编写的gitlab API客户端和强大的CLI
01-30
go-gitlab-client go-gitlab-client是使用golang编写的客户端,用于使用gitlab API。 它还提供了一个方便的CLI,可以轻松地与gitlab API进行交互。 LIB 安装lib 要安装go-gitlab-client,请使用go get : go get...
GitLab-CI/CD语法详解
clover661的博客
03-10 7395
工作原理 1、将代码托管在git 2、在项目根目录创建ci文件.gitlan-ci.yml 在文件中指定构建,测试和部署脚本 3、gitlab将检测到他并使用名为git Runner的工具运行脚本 4、脚本被分组为作业,他们共同组成了一个管道 gitlab-ci的脚本执行,需要自定义按照对应的gitlab-runner来执行,代码puhs之后 webhook检测到代码变化就会触发gitlan-cl,分配到各个Runner来运行相应的脚本script gitlab Runner 类型 ​ shared 共享
Dependency-check
weixin_42176112的博客
02-15 4404
文章目录前言简介原理 前言 公司客户使用的是该工具扫描,与我们内部使用的工具snyk的测试结果无法对其,为了便于和客户扫描对齐也采用该工具扫描本公司的产品。本文主要记录一下工具原理简介、使用方式、报告解读及与其他工具对比等内容。本文内容来源于网络也服务于网络,起主要目的是把自己使用的一些心得体会记录一下便于自己日后使用,也能够为他人提供一点点有效参考。 简介 Dependency-Check 是OWASP(Open WebApplication Security Project) g的一个实用开源程序,用
组件扫描 dependency check
weixin_45596492的博客
03-28 724
介绍 Dependency-Check 是一种软件组合分析 (SCA) 工具,它试图检测项目依赖项中包含的公开披露的漏洞。它通过确定给定依赖项是否存在通用平台枚举 (CPE) 标识符来做到这一点。如果找到,它将生成链接到相关 CVE 条目的报告。 使用方法 1.官方github下载 ​​​​​​GitHub - jeremylong/DependencyCheck: OWASP dependency-check is a software composition analysis utility t
org.sonarsource.php,声纳扫描器设置为多模块项目的单独依赖检查报告
weixin_31614747的博客
03-11 343
我有多模块项目设置 . 由于我的项目没有设置Jenkins / Maven,我使用CLI分别获取每个模块的依赖关系报告,并将它们复制到根据其模块命名的根项目文件夹例如:D: MyProject--module1--src--module2--src--dependency-check-module1-report--dependency-check-report (XML)--dependency...
使用OWASP Dependency-Check进行第三方依赖包安全扫描实践
热门推荐
富贵的博客
10-09 1万+
1、简介 OWASP是开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。OWASP的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。OWASP的研究成果被美、欧、日等多个国家的32个政府与行业组织机构引用成为近百项国际法规、标准、指南和行业行为准则。 Dependency-Check是OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.
一些云原生开源安全工具介绍
武天旭的博客
05-21 1117
kube-bench是一个用Golang开发的、由Aqua Security发布的自动化Kubernetes基准测试工具,它运行CIS Kubernetes基准中的测试项目。这些测试项目是用YAML语言编写的,方便后续根据CIS基准测试的标准来进行扩展。互联网安全中心(CIS)是一个全球性的非营利组织,其任务是确定、开发、验证、升级和维持针对网络防御的最佳解决方案。CIS发布了Kubernetes的基准测试,集群管理员可以使用该基准测试来确保集群遵循推荐的安全配置。
gitlab-ci详细说明
demon7552003的小本本
05-22 4208
文章目录概念PipelineStagesJobsjob分组variables自定义变量预定义变量使用变量关键词全局关键词before_scriptafter_scriptincludeStage关键词Job关键词scriptimageartifactstagscachestagewhenonly/exceptdependenciesextendstriggerrulesallow_failurecoveragepagesreleaseresource_groupretrytimeout参考gitlabci变
代码依赖包安全漏洞检测神器 —— Dependency Check
liwenxiang629的博客
11-02 9326
目前各个企业对于应用的安全越来越重视,而解决应用漏洞的本质是从代码安全抓起。通常关于代码的安全问题有两类:代码本身的安全问题和代码依赖包存在的安全问题。对于代码本身的安全问题,我们可以通过静态代码分析工具解决。而对于代码依赖包的安全问题是我们这篇文章重点解决的事情,业界通常使用Dependency-Check来检查代码中是否存在任何已知的,公开披露的安全漏洞。他检查依赖项中是否存在漏洞的原理也跟我们熟知的病毒查杀软件一样,预先定义好目前已知的安全漏洞库,检查依赖包时,发现这些漏洞就会报错,最后定期更新安全漏
GitLab-CI/CD怎么集成Dependency-Check
05-27
GitLab-CI/CD可以很方便地集成Dependency-Check来实现依赖扫描。下面是具体的集成步骤: 1. 安装Dependency-Check 首先需要安装Dependency-Check工具。可以到官网下载对应的软件包,然后解压到任意目录即可。 2. 配置GitLab-CI/CD 在项目的根目录下创建一个名为`.gitlab-ci.yml`的文件,并添加以下内容: ``` image: maven:3.6.3-jdk-11 stages: - build - test - dependency-check before_script: - mvn --version build: stage: build script: - mvn clean package test: stage: test script: - mvn test dependency-check: stage: dependency-check script: - wget https://dl.bintray.com/jeremy-long/owasp/dependency-check-5.3.2-release.zip - unzip dependency-check-5.3.2-release.zip - cd dependency-check-5.3.2-release/bin - ./dependency-check.sh --project "My Project" --scan ./../../target/*.jar --out ./../../dependency-check-report artifacts: paths: - dependency-check-report ``` 以上配置文件定义了三个阶段:build、test和dependency-check。其中,build和test阶段是项目的编译和测试阶段,dependency-check阶段是依赖扫描阶段。在dependency-check阶段中,我们下载并安装了Dependency-Check工具,并使用它来扫描项目的依赖关系。扫描结果将以HTML报告的形式保存在`dependency-check-report`目录下。 3. 提交并运行Pipeline 将`.gitlab-ci.yml`文件提交到项目的Git仓库中,并在GitLab上开启CI/CD功能。然后,就可以运行Pipeline了。Pipeline运行结束后,可以在GitLab的Pipeline页面查看扫描结果。 以上就是集成Dependency-Check的具体步骤,希望可以帮到你。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值