DevSecOps on 翟志军 Jack Zhai https://showme.codes/tags/devsecops/ Recent content in DevSecOps on 翟志军 Jack Zhai Hugo en-us showme.codes Mon, 25 Dec 2023 00:00:00 +0000 使用Google OSV工具扫描依赖安全漏洞 https://showme.codes/zh-cn/2023-12-25-google-osv/ Mon, 25 Dec 2023 00:00:00 +0000 https://showme.codes/zh-cn/2023-12-25-google-osv/ <p><img loading="lazy" src="https://showme.codes/assets/images/xkcd-dependency.png"></p> <h2 id="安全漏洞是软件工程化能力的试金石">安全漏洞是软件工程化能力的试金石</h2> <p>2021年年底,Log4j的漏洞陆续被公开。因为该框架被大量的开源软件依赖,所以,漏洞影响面非常大。</p> <p>面对这个漏洞,我们遇到的第一个问题是:如何知道我们哪些工程使用了Log4j?</p> <p>在我看来,这个漏洞是企业软件工程化的一颗非常好的试金石。因为:</p> <ol> <li>如何第一时间了解到这个漏洞,反应这家企业的安全能力;</li> <li>如何第一时间能找到所有使用了Log4j的位置,体现了这家企业第三方软件依赖管理能力;</li> <li>替换Log4j的速度,体现企业的持续集成、持续部署的能力。</li> </ol> <h2 id="google的开源软件安全漏洞扫描工具">Google的开源软件安全漏洞扫描工具</h2> <p>今天介绍的OSC-Scanner,能加强我们第1项和第2项能力。</p> <p>OSV-Scanner是Google在2022年12月13日推出的一款免费的安全扫描工具。它具有以下特点:</p> <ol> <li>支持多生态系统,包括:Go、PyPI、RubyGens、Linux、Maven等16个生态系统;</li> <li>同时支持直接依赖的扫描和间接依赖的扫描;</li> <li>采用标准的漏洞记录格式;</li> <li>从当前最大的开源软件漏洞数据库(https://osv.dev/)获取信息。这也是DenpencyTrack和Flutter安全工具的漏洞数据库。</li> </ol> <p>OSV-Scanner是一款命令行工具,我们可以将它集成到我们的构建工具或者CICD Pipeline中。目前它已经被集成到Scorecard中。Scorecard是一款为开发源软件的安全健康度打分的开源软件。我们可以在Github Actions中使用它:https://github.com/ossf/scorecard/tree/main?tab=readme-ov-file#scorecard-github-action</p> <h2 id="osv-scanner的安装">OSV-Scanner的安装</h2> <p>Windows:</p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-shell" data-lang="shell"><span class="line"><span class="cl">scoop install osv-scanner </span></span></code></pre></div><p>Mac Homebrew:</p> <pre tabindex="0"><code>brew install osv-scanner </code></pre><p>也可以直接下载二进制包:https://github.com/google/osv-scanner/releases</p> <p>具体安装文档:https://google.github.io/osv-scanner/installation/</p> <h2 id="osv-scanner的使用">OSV-Scanner的使用</h2> <p>Keras是一个使用Python编写的开源人工神经网络库。我们以它为例。命令行里运行以下命令:</p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-shell" data-lang="shell"><span class="line"><span class="cl">./osv-scanner_1.3.6_linux_amd64 --format json keras/ </span></span></code></pre></div><p><img loading="lazy" src="https://showme.codes/assets/images/osv-scanner-keras.png"></p> <p>输出内容说明:keras存在一个“潜在内存泄漏”的漏洞。</p> <p>当拿到json结果后,我们的DevOps平台就可以进行一些告警监控的操作。</p> <h2 id="后记">后记</h2> <p>osv-scanner目前需要连osv.dev,才能使用。但是,已经开放实验功能,允许用户离线使用osv-scanner。这是自建DevOps平台的福音!</p>