linux git 依赖,linuxea:gitlab-ci/cd Dependency依赖扫描两种方式 (五)

最新推荐文章于 2024-10-04 17:54:11 发布
最新推荐文章于 2024-10-04 17:54:11 发布
阅读量449 收藏
点赞数
文章标签: linux git 依赖

I. Dependency

如果正在使用GitLab CI / CD,则可以使用依赖项扫描来分析已知漏洞的依赖关系,方法是将CI作业包含在现有.gitlab-ci.yml文件中,或使用Auto DevOps 提供的自动依赖项扫描

依赖扫描参考:

https://docs.gitlab.com/ee/user/project/merge_requests/dependency_scanning.html

https://docs.gitlab.com/ee/ci/examples/dependency_scanning.html

使用dependency-scanning替代Dependency-Check,我顺便介绍下Dependency-Check,在后面

https://github.com/jeremylong/DependencyCheck

支持的语言和包管理器

The following table shows which languages and package managers are supported and which tools are used.

JavaScript (npm, yarn) --->> gemnasium, Retire.js

Python (pip)--->> gemnasium

Ruby (gem)--->> gemnasium, bundler-audit

Java (Maven) --->> gemnasium

PHP (Composer) --->> gemnasium

集成GitLab

# 依赖扫描

4/8 dependency-scanning:

<<:>

script:

- export SP_VERSION=$(echo "$CI_SERVER_VERSION" | sed 's/^\([0-9]*\)\.\([0-9]*\).*/\1-\2-stable/')

- docker run --rm

--env DEP_SCAN_DISABLE_REMOTE_CHECKS="${DEP_SCAN_DISABLE_REMOTE_CHECKS:-false}"

--volume "$PWD:/code"

--volume /etc/localtime:/etc/localtime:ro

--volume /var/run/docker.sock:/var/run/docker.sock

"registry.gitlab.com/gitlab-org/security-products/dependency-scanning:$SP_VERSION" /code

- date

artifacts:

paths: [gl-dependency-scanning-report.json]

# except:

# variables:

# - $CONTAINER_SCANNING_DISABLE

so,在gitlab官网提供的镜像中,很明显的这个报:Source code language/dependency manager is not yet supported for analyze

5c1967c5325842cec010c6abd3e07965.gif

II. Dependency-Check

假如你觉得上面的那个不好用,没关系,还可以用Dependency-Check

Dependency-Check是一种软件组合分析(SCA)工具,它试图检测项目依赖项中包含的公开披露的漏洞。它通过确定给定依赖项是否存在公共平台枚举(CPE)标识符来完成此操作。如果找到,它将生成链接到相关CVE条目的报告。

文档和生产二进制版本的链接可以在github页面上找到。此外,关于体系结构的更多信息和扩展依赖性检查的方法可以在wiki上找到。

目前,支持Java和.NET; 针对Ruby,Node.js,Python以及对C / C ++构建系统(autoconf和cmake)的有限支持已添加额外的实验支持

参考:

https://jeremylong.github.io/DependencyCheck/dependency-check-cli/index.html

原本的docker脚本如下:

#!/bin/sh

OWASPDC_DIRECTORY=$HOME/OWASP-Dependency-Check

DATA_DIRECTORY="$OWASPDC_DIRECTORY/data"

REPORT_DIRECTORY="$OWASPDC_DIRECTORY/reports"

if [ ! -d "$DATA_DIRECTORY" ]; then

echo "Initially creating persistent directories"

mkdir -p "$DATA_DIRECTORY"

chmod -R 777 "$DATA_DIRECTORY"

mkdir -p "$REPORT_DIRECTORY"

chmod -R 777 "$REPORT_DIRECTORY"

fi

# Make sure we are using the latest version

docker pull owasp/dependency-check

docker run --rm \

--volume $(pwd):/src \

--volume "$DATA_DIRECTORY":/usr/share/dependency-check/data \

--volume "$REPORT_DIRECTORY":/report \

owasp/dependency-check \

--scan /src \

--format "ALL" \

--project "My OWASP Dependency Check Project" \

--out /report

# Use suppression like this: (/src == $pwd)

# --suppression "/src/security/dependency-check-suppression.xml"

ok,我们修改下集成到gitlab里面(当然,提前pull镜像 docker pull owasp/dependency-check)

集成GitLab

注意:这里有个权限问题gitlab-runner ALL=(root)NOPASSWD:/bin/chown,/bin/mkdir,/bin/chmod

5/8 dependency-check:

stage: code-check

script:

- export OWASPDC_DIRECTORY=$PWD/OWASP-Dependency-Check

- export DATA_DIRECTORY=$OWASPDC_DIRECTORY/data

- export REPORT_DIRECTORY=$OWASPDC_DIRECTORY/reports

- '[[ ! -d "$DATA_DIRECTORY" ]] || echo "Initially creating persistent directories" && mkdir -p "$DATA_DIRECTORY" && sudo chmod -R 777 "$DATA_DIRECTORY" && mkdir -p "$REPORT_DIRECTORY" && sudo chmod -R 777 "$REPORT_DIRECTORY"'

- docker run --rm

--volume $(pwd):/src

--volume "$DATA_DIRECTORY":/usr/share/dependency-check/data

--volume "$REPORT_DIRECTORY":/report

"owasp/dependency-check"

--scan /src

--format "ALL"

--project "My OWASP Dependency Check Project"

--out /report

- cp OWASP-Dependency-Check/reports/dependency-check-report.json $PWD/dependency-check-report.json

- sudo chown -R gitlab-runner.gitlab-runner ${PWD}

- date

artifacts:

paths:

- dependency-check-report.json

- OWASP-Dependency-Check/reports/

试着运行一次

5c1967c5325842cec010c6abd3e07965.gif

这里会产生几个文件

[gitlab-runner@linuxea-VM-Node_10_10_240_145 linuxea]$ ll OWASP-Dependency-Check/reports/

总用量 272

-rw-r--r-- 1 gitlab-runner gitlab-runner 223 7月 1 21:09 dependency-check-report.csv

-rw-r--r-- 1 gitlab-runner gitlab-runner 139030 7月 1 21:09 dependency-check-report.html

-rw-r--r-- 1 gitlab-runner gitlab-runner 12086 7月 1 21:09 dependency-check-report.json

-rw-r--r-- 1 gitlab-runner gitlab-runner 8964 7月 1 21:09 dependency-check-report.xml

-rw-r--r-- 1 gitlab-runner gitlab-runner 110002 7月 1 21:09 dependency-check-vulnerability.html

[gitlab-runner@DS-VM-Node_10_10_240_145 linuxea]$

下载下来即可查看

5c1967c5325842cec010c6abd3e07965.gif

打开dependency-check-report.html,如下图:

点击:Display: Showing Vulnerable Dependencies (click to show all) 即可查看

5c1967c5325842cec010c6abd3e07965.gif

除非另有说明,否则本站上的内容根据以下许可进行许可: CC署名-非商业性使用-相同方式共享4.0国际许可协议4.0进行许可

本文作者:www.linuxea.com for Mark

文章链接:http://www.linuxea.com/1837.html (转载请注明本文出处和本章链接)

weixin_39882317
关注
GitLab CI/CD .gitlab-ci.yml 关键词(九):作业依赖needs,GitLab Pages pages,制品依赖 dependencies
知无涯
08-27 3872
上一篇文章我们介绍了有助于优雅编写文件的default和inherit二个关键词,掌握这两个关键词非常有助于大家编写出格式优雅,代码复用率高,高内聚,低耦合的流水线代码。本篇文章介绍三个关键词,分别是用于处理作业依赖的needs,用于处理制品依赖的,以及用于在GitLab 发布静态网站的。熟练运用needs和能够使你的流水线运行速度更快。下面让我们一起详细了解一下吧。灵活使用关键词needs可以加快构建,让作业跳出stages的执行顺序在使用pages关键词时,需要注意作业名必须是pages。...
linux_module_dependencies:提供和使用导出符号的两个简单驱动程序
07-07
linux_module_dependencies 提供和使用导出符号的两个简单驱动程序。 像往常一样使用 EXPORT_GPL_SYMBOL 或 EXPORT_SYMBOL 导出您的符号。 正常构建您的提供程序模块 - 并查看 Module.symvers 文件,因为我们将取决于它导出的内容 - Makefile 包含神奇的部分。 你的依赖模块现在需要一个使用 KBUILD_EXTRA_SYMBOLS 的 makefile 来引用这些额外的符号
gitlab-ci配置详解(二)
大灰狼的小绵羊哥哥的博客
04-23 5298
jobs(任务) .gitlab-ci.yml允许用户创建无数多个任务.但是每个任务必须有一个独一无二的名字,但不能是以下保留字.一个任务是由一列参数定义的,来决定任务的工作内容和行为. job_name: # 要跑的脚本或命令列表 script: - rake spec - coverage # pipelines阶段 stage: test # 只针对哪个分支 only: - master # 除了哪个分支以外 except: - d
Linux环境基础开发工具使用(2)
最新发布
wer24_25的博客
10-04 1300
Linux环境基础开发工具使用(2) 如何在gitee创建项目仓库?如何使用git上传项目?如何使用Linux:make/makefile? 如何在Linux中完成一个小程序进度条?如何使用Linux调试器-gdb? 这一篇文章给你答案!!!
DependencyCheck+Jenkins扫描JAVA第三方依赖(CVE)漏洞
u012280424的博客
09-26 4334
利用Jenkins使用DependencyCheck更新漏洞库到本地,然后DependencyCheck扫描扫描项目,得到一个json报告,然后再使用json报告填充我们的自定义模板,最后输出填充后的模板为漏洞报告。
gitlab-ci-lint:gitlab-ci cli到lint .gitlab-ci.yml文件
04-29
gitlab-ci-lint gitlab-ci cli到lint .gitlab-ci.yml文件 用法 安装 npm install -g gitlab-ci-lint 命令行界面 Usage: gitlab-ci-lint [options] Options: -h, --help output usage information -V, --...
gitlab-ci-validate:检查您的 .gitlab-ci.yml 文件是否有效
05-31
安装: yarn global add gitlab-ci-validatenpm i -g gitlab-ci-validate用法: # It will try to find if .gitlab-ci.yml is present on the current folder if no file path is provided$ gitlab-ci-validate ...
gitlab-monorepo-scripts:用于生成CICD配置的GitLab Monorepo脚本
05-19
将为monorepo项目生成GitLab CI配置的脚本。 受到 特征 生成每包CI作业 仅对更改的软件包执行作业 使用Docker进行容器化 将Node.js应用程序部署到Heroku 将静态部署到Firebase托管 这些功能可以通过yarn ...
docker-gitlab-runner-jdk-maven:gitlab ci runner,安装JDK和maven
06-04
#介绍Dockerfile 使用 JDK、maven、git 和 openssh 从 sameersbn/gitlab-ci-runner 基本映像构建 GitLab CI Runner。 安装了 Java7、maven、git 和 openssh。 运行此镜像后,您可以使用root通过ssh登录此运行程序,...
go-gitlab-client:Go语言编写的gitlab API客户端和强大的CLI
01-30
go-gitlab-client go-gitlab-client是使用golang编写的客户端,用于使用gitlab API。 它还提供了一个方便的CLI,可以轻松地与gitlab API进行交互。 LIB 安装lib 要安装go-gitlab-client,请使用go get : go get...
GitLab-CI/CD语法详解
clover661的博客
03-10 8119
工作原理 1、将代码托管在git 2、在项目根目录创建ci文件.gitlan-ci.yml 在文件中指定构建,测试和部署脚本 3、gitlab将检测到他并使用名为git Runner的工具运行脚本 4、脚本被分组为作业,他们共同组成了一个管道 gitlab-ci的脚本执行,需要自定义按照对应的gitlab-runner来执行,代码puhs之后 webhook检测到代码变化就会触发gitlan-cl,分配到各个Runner来运行相应的脚本script gitlab Runner 类型 ​ shared 共享
gitlab-ci_cd语法CICD
qq_492448446的博客
03-05 1648
gitlab-ci_cd语法CICD
Linux中的ldd命令(显示可执行模块的dependency
站在巨人的肩膀上
06-24 2394
1.首先ldd不是一个可执行程序,而只是一个shell脚本 2、ldd能够显示可执行模块的dependency,其原理是通过设置一系列的环境变量,如下:LD_TRACE_LOADED_OBJECTS、LD_WARN、LD_BIND_NOW、LD_LIBRARY_VERSION、 LD_VERBOSE等。当LD_TRACE_LOADED_OBJECTS环境变量不为空时,任何可
第十六天学习linux
weixin_42296147的博客
02-26 205
14.1 动态主机地址管理协议 动态主机配置协议(DHCP)是一种基于UDP协议且仅限于在局域网内部使用的网络协议,主要用于大型的局域网环境或者存在较多移动办公设备的局域网环境中,其主要用途是为局域网内部的设备或网络供应商自动分配IP地址等参数。 简单来说,DHCP协议就是让局域网中的主机自动获得网络参数的服务。 14.2 部署dhcpd服务程序 dhcpd是Linux系统中用于提供DHCP协议的服务程序。尽管DHCP协议的功能十分强大,但是dhcpd服务程序的配置步骤却十分简单,这也在很大程度上降低了在L
代码依赖包安全漏洞检测神器 —— Dependency Check
热门推荐
liwenxiang629的博客
11-02 1万+
目前各个企业对于应用的安全越来越重视,而解决应用漏洞的本质是从代码安全抓起。通常关于代码的安全问题有两类:代码本身的安全问题和代码依赖包存在的安全问题。对于代码本身的安全问题,我们可以通过静态代码分析工具解决。而对于代码依赖包的安全问题是我们这篇文章重点解决的事情,业界通常使用Dependency-Check来检查代码中是否存在任何已知的,公开披露的安全漏洞。他检查依赖项中是否存在漏洞的原理也跟我们熟知的病毒查杀软件一样,预先定义好目前已知的安全漏洞库,检查依赖包时,发现这些漏洞就会报错,最后定期更新安全漏
推荐使用:Git Dependency Resolver For Unity
gitblog_01041的博客
08-25 408
推荐使用:Git Dependency Resolver For Unity GitDependencyResolverForUnityThis plugin resolves git url dependencies in the package for Unity Package Manager. You can use a git url as a package dependency!项...
标题:让你的Unity项目拥抱Git依赖管理的利器——Git Dependency Resolver for Unity
gitblog_00080的博客
05-30 305
标题:让你的Unity项目拥抱Git依赖管理的利器——Git Dependency Resolver for Unity GitDependencyResolverForUnityThis plugin resolves git url dependencies in the package for Unity Package Manager. You can use a git url as ...
OWASP Dependency-Scan: 深入洞察你的代码依赖
gitblog_00099的博客
04-16 485
OWASP Dependency-Scan: 深入洞察你的代码依赖性 dep-scan OWASP dep-scan is a next-generation security and risk audit tool based on known vulnerabilities, advisories, and lice...
GitLab-CI/CD怎么集成Dependency-Check
05-27
GitLab-CI/CD可以很方便地集成Dependency-Check来实现依赖扫描。下面是具体的集成步骤: 1. 安装Dependency-Check 首先需要安装Dependency-Check工具。可以到官网下载对应的软件包,然后解压到任意目录即可。 2. 配置GitLab-CI/CD 在项目的根目录下创建一个名为`.gitlab-ci.yml`的文件,并添加以下内容: ``` image: maven:3.6.3-jdk-11 stages: - build - test - dependency-check before_script: - mvn --version build: stage: build script: - mvn clean package test: stage: test script: - mvn test dependency-check: stage: dependency-check script: - wget https://dl.bintray.com/jeremy-long/owasp/dependency-check-5.3.2-release.zip - unzip dependency-check-5.3.2-release.zip - cd dependency-check-5.3.2-release/bin - ./dependency-check.sh --project "My Project" --scan ./../../target/*.jar --out ./../../dependency-check-report artifacts: paths: - dependency-check-report ``` 以上配置文件定义了三个阶段:build、test和dependency-check。其中,build和test阶段是项目的编译和测试阶段,dependency-check阶段是依赖扫描阶段。在dependency-check阶段中,我们下载并安装了Dependency-Check工具,并使用它来扫描项目的依赖关系。扫描结果将以HTML报告的形式保存在`dependency-check-report`目录下。 3. 提交并运行Pipeline 将`.gitlab-ci.yml`文件提交到项目的Git仓库中,并在GitLab上开启CI/CD功能。然后,就可以运行Pipeline了。Pipeline运行结束后,可以在GitLab的Pipeline页面查看扫描结果。 以上就是集成Dependency-Check的具体步骤,希望可以帮到你。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值