blackduck issue fix

已于 2023-02-19 19:35:30 修改
阅读量939 收藏
点赞数
文章标签: issue vscode vue.js
于 2023-02-19 12:18:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyujin1997/article/details/129107729
版权

总目录: 如何使用VSCode插件codesight扫描出前端项目的风险依赖包并借助 npm-force-resolutions 修复之?blackduck issue fix

文章目录

场景

你在一个前端nodejs项目中使用到了好多个依赖包,其中某几个依赖包的某些版本是有风险的。
在项目上线前,你最好修复这些安全风险。这时,你需要一些工具来帮助你:

  • 扫描出那些包含风险的依赖包,最好有风险等级(critical/high/medium/low);
  • 对于某个含风险的依赖,你需要知道它的哪个版本是无风险的;
  • (由于那些含风险的依赖,不一定是直接依赖,可能是间接依赖,所以)你需要知道在一个nodejs项目中如何指定某个依赖的确切的安装版本

依赖包风险扫描插件——synopsys codesight

https://marketplace.visualstudio.com/items?itemName=SynopsysCodeSight.vscode-codesight
VSCode 中可以搜到这个插件:
在这里插入图片描述注意插件介绍处有提到:Sign up for a free trial of Code Sight and get started in only a couple of minutes.
个人可以通过注册新账号的方式,免费试用一小会这个插件。
长期使用的话,这个服务是收费的。

在 VSCode 中安装插件 synopsys code sight

在 VSCode 插件安装功能中搜索 codesight,点击安装。

在这里插入图片描述

安装成功后会自己弹出以下页面:

在这里插入图片描述
需要提供一个真实、在用的邮箱,用于接收一次验证邮件,激活账号。
在这里插入图片描述点击Start Trial,会开始下载插件:
在这里插入图片描述去查看最新邮件:
在这里插入图片描述访问该连接:
在这里插入图片描述账号激活成功!

在VSCode界面中,点击Verify Email

在这里插入图片描述
在这里插入图片描述
如何开始扫描?
点击OPEN SOURCE ANALYSIS右侧的启动/开始按钮(小三角)即可。

在这里插入图片描述

扫描结果:
在这里插入图片描述然后修改package.json文件(修改内容见后),重新运行npm install之后,会发现pacakge-lock.json文件内容也发生了变化。

代码PR: https://gitee.com/wuyujin1997/react-env/pulls/1/files,你可以从这里看到文件的变化:
在这里插入图片描述

如何根据 codesight 插件提示修改单个依赖的版本?

按风险从高到低,我们从高风险依赖开始。
双击某个依赖,如faye-websocket-node,弹出最右侧的窗口,点击Fix it
在这里插入图片描述然后你就可以看到推荐的版本:Replace with: xxx x.x.x (recommended)
在这里插入图片描述
然后你需要在package.json中添加配置:

{
  "resolutions": {
    "eventsource": "1.1.2",
    "faye-websocket-node": "0.11.4"
  },
}

注意这里的插件名,不一定和你点击的依赖显示的名称完全一致,如:
在这里插入图片描述

在这里插入图片描述

注册账号

如何使用codesight插件扫描项目依赖包的风险

其他工具

snyk

https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner
这个插件我还没用过,先留在这里。

在这里插入图片描述

公司提供/允许的工具

如果你公司对于要上线的项目有风险扫描这一步,那同时应该会配备扫描工具,用扫描结果来限制你的上线动作(项目上线前必须修改某某问题)。
这个公司已经为之付费过、用于扫描要上线项目的扫描工具,也是你的工具。

指定依赖版本

这一步骤花了我一周时间。

一开始,是通过手动编辑package-lock.jsonnpm-shrinkwrap.json文件中涉及到的依赖的version, resolved, integrity 等。
integrity的值用npm info xxx@versionNumber得出(就是依赖包的checksum值)。
由于我掌握了VSCode多处编辑的快捷键,而且要调整版本的依赖数量也不多,很快就可以搞定。

但是要调整版本的依赖数量太多的时候,人工+重复的工作模式只能成为历史,
以下是代码修改量少,工作量更小,出错环节也更少的修改方式:
nodejs前端项目 如何显式指定某个依赖的版本 resolutions 字段 + npm-force-resolutions 插件 package-lock.json

锦天
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
npm-force-resolutions:强制npm安装特定的传递依赖项版本
05-14
NPM部队决议 该软件包修改package-lock.json,以强制安装特定版本的传递依赖关系(依赖关系的依赖关系),类似于yarn的,但不必迁移到yarn。 警告开始之前 这种情况的用例是存在安全漏洞,并且您必须更新嵌套的依赖项,否则您的项目将很容易受到攻击。 但这只能用作最后一个资源,您应该首先更新顶级依赖关系,并为他们提出一个问题以更新易受攻击的子依赖关系( npm ls <vulnerable>可以帮助您解决此问题)。 如何使用 首先,将要修复的依赖项版本的字段resolutions添加到package.json ,例如: " resolutions " : { " hoek " : " 4.2.1 " } 然后将npm-force-resolutions添加到预安装脚本中,以便在您每次npm install之前修补package-lock文件:
Code Sight with Black Duck SCA
baidu_31295661的博客
02-11 546
Code Sight with Black Duck SCA
安全工具 | 软件成分分析工具Black Duck,业界排名TOP 1的SCA工具
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-18 1718
在现代的 DevOps 或 DevSecOps 环境中,SCA 激发了“左移”范式的采用。提早进行持续的 SCA 测试,使开发人员和安全团队能够在不影响安全性和质量的情况下提高生产力。前期在博文中介绍了SCA的产生背景、技术原理及主流检测工具,本文结合博主对Black Duck工具的深度使用来展开介绍业界排名 Top 1 的Black Duck工具。
Black Duck----安装 Synopsys Detect,运行你的第一次
baidu_31295661的博客
01-08 7119
Synopsys Detect(也称为 Detect)可以在您的桌面图形用户界面 (GUI) 或命令行 (CLI) 上运行。虽然 Detect 运行有许多变化,但运行将执行以下三个步骤。 首先,Detect 将使用项目的包管理器来派生该包管理器已知的依赖关系层次结构。 其次,Synopsys Detect 将在项目上运行 Black Duck 签名扫描仪。这可能会识别包管理器不知道的其他依赖项(例如,复制到项目目录中的 .jar 文件)。 最后,Synopsys Detect 将两组结果上传到 Bla
nodejs前端项目 如何显式指定某个依赖的版本 resolutions 字段 + npm-force-resolutions 插件 package-lock.json
wuyujin1997的博客
02-18 3564
对于直接依赖(node install xxx直接安装、并写入package.json中的依赖),可以修改其版本号。这一步出现了问题,需要修改一些依赖包(也包括深层依赖,即依赖的依赖)的版本,指定到系统认为安全的版本。这类问题,如果是Java后端+Maven管理依赖的场景下,可以在。只限定主版本号,次版本号和修订版本号可升级。,这个文件里列出的是当时具体的依赖层次和版本。字段内容的方式,来自己指定某些依赖的版本了。文件来强行限制那些传递依赖(依赖的依赖)的。而那些需要限制版本号的依赖,你可以列在。
blackduck】jenkins下配置指定的synopsys-detect扫描版本
baidu_31295661的博客
06-22 471
背景通过jenkins在运行安全扫描自动化时,有时候不需要最新的synopsys-detect版本,而是运行指定版本1.管理员账户登录jenkins到【系统管理】【系统配置】【全局属性】配置blackduck,jenkins插件synopsys-detect指定扫描版本,而不是从blackduck官网拉取最新扫描版本2.运行结果:......
Black Duck hub用户指导书
03-01
Black Duck Hub 用户指导书 Black Duck Hub 是一个功能强大的软件组件管理平台,旨在帮助开发者和企业更好地管理开源软件组件。下面是根据用户指导书生成的相关知识点: 一、黑鸭湖Hub 简介 Black Duck Hub 是一...
Python库 | blackduck-0.0.34.tar.gz
03-01
在本案例中,我们关注的是名为`blackduck-0.0.34.tar.gz`的压缩包,它包含了一个Python库的源代码。这个库被称为Black Duck,可能与开源代码合规性和安全检测有关。 Black Duck,通常指的是Synopsys公司的Black ...
java8看不到源码-docker-blackduck:BlackDuck泊坞窗设置
06-04
java8 看不到源码 Docker 镜像 这个 repo 将包含 docker 图像 当前可用版本: . ├── ...philipssoftware/blackduck:6 ...philipssoftware/blackduck:6 ...philipssoftware/blackduck:6 ...--blackduck.url=
black-duck-radar
05-23
概述这是一个chrome扩展程序,用于显示组件信息,包括操作风险,漏洞,使用的Black Duck Hub项目和违反Black Duck Hub的政策,以帮助确定是否应在项目中使用组件。建造生产: npm run build 发展: npm run dev-...
blackduck-installer:在Docker Swarm上安装Black Duck的实用程序应用程序
05-26
概述 建造 在哪里可以获得最新版本? 文献资料
2019十大实用且重要的开源工具
01-10
在Black Duck的2017年开源调查中显示,77%的受访企业使用开源构建内部应用程序,69%的受访企业使用开源组件来创建客户应用程序,69%的企业表示开源能够为其基础架构提供动力。受访的企业中有48%表示,他们组织中为开源贡献力量的人数正在增加。 GitHub目前拥有超过2400万用户和超过2500万个公共仓库。在许多领域中,开源项目已成为主导技术,希望让自己保持和最新技术同步的IT专业人员至少需要熟悉这些工具。根据目前的趋势,这里列出十个2019年最重要的开源工具: 一、Docker DevOps和云计算的双重趋势极大地增加了人们对容器技术的兴趣,Docker是容器技术中的领军者,在2
【友商分析】Palo Alto安全业务对象信息
Walter的专栏
09-02 1435
防间谍软件对象规则 包括:adware,botnet,net-worm,backdoor,browser-hijack,data-theft,keylogger,p2p communication.spyware. adware:是指以一个附带广告的电脑程序,以广告作为盈利来源的软件。此类软件往往会强制安装并无法卸载;在后台收集用户信息牟利,危及用户隐私;频繁弹出广告,消耗系统资源,使其运行变
jenkins集成blackduck,黑鸦sourcecode源码模式扫描配置
baidu_31295661的博客
12-30 2904
--blackduck.url=https://blackduck.swtools.XXXX.com --blackduck.api.token=公司blackduck官网的访问密钥,一般密钥获取地址:https://blackduck.swtools.XXXX.com/api/current-user/tokens --blackduck.trust.cert=true --detect.project.name="工程名" --detect.project.version.name=版本名 -...
【jenkins】CICD实践,git+maven+synopsys detect(blackduck)+shell+trigger+jmeter+python集成自动化安全扫描扫描结果邮件自动发送
baidu_31295661的博客
07-01 913
到此,一次完整的CICD扫描过程已完成,如果需要定时批量构建 。可再添加个流水线job,使用pipeline脚本管理调度。分享不易,有更高效方法欢迎沟通交流
Black Duck漏洞扫描问题解决笔记
SonOfWind0311的博客
06-13 6041
产品正式发布之前往往需要进行安全扫描,解决安全漏洞。Black Duck是一款比较通用的扫描软件,记录了一些遇到的问题和解决的方法。
使用yarn/npm配置resolutions按需下载版本依赖包
热门推荐
SHALLNY
02-25 1万+
最近在修复项目代码漏洞时,要求对使用的依赖包进行版本升级,其中包括一些子依赖包要求升级到对应版本的问题 其中关于antv/g2内携带的子依赖d3-color 当前版本为2.0.0,需升级到3.0.0 一般思维,可能是直接升级d3-color,如终端执行yarn upgrade package@version,但是是不起作用的,它的最上层antv/g2为低版本,内部板顶d3-color为低版本,此时若需升级d3-color,可要么通过升级g2位最新版本来间接性升级子依赖包(事实证明,并非所有的依赖可.
blackduck】synopsys-detect maven工程安全扫描命令行参数配置
baidu_31295661的博客
01-06 2619
主要配置参数如下: blackduck.url=xxx detect.project.name=MyProject blackduck.api.token=xxx detect.test.connection=true blackduck.trust.cert=true detect.bash.path=/usr/bin/bash detect.bdio.output.path=output detect.output.path=output detect.java.path=/usr/bin/java
blackduck使用教程
07-30
很抱歉,我无法提供Black Duck的具体使用教程。Black Duck是一款开源代码审计和管理工具,它包括Protex、Codecenter和Export等组件,用于代码扫描、管理和有效使用开源代码。如果您需要了解Black Duck的使用教程,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值