Уязвимости
Refs
https://ossindex.sonatype.org/
Уязвимости в зависимостях
dependency-check
Homepage Sourcecode Image 1 Image 2
Варианты запуска: image 1 - Образ программы. Запускаем сценарий по ссылке из директории проекта. Программа скачивает базу уязвимостей и запускает проверку. База уязвимостей кэшируется на хосте и обновляется при очередном запуске.
- Сценарий падает при сохранении отчета. Лечение - заменяем
-u $(id -u ${USER}):$(id -g ${USER})на-u root
image 2 - Образ программы с базой уязвимостей. Выполняем команду ниже:
docker pull owasp/dependency-check-action:latest docker run --rm \ --volume $(pwd):/src \ --volume $(pwd)/odc-reports:/report:z \ owasp/dependency-check-action:latest --scan /src --format HTML --project app --out /report
Вызов программы внутри контейнера
docker run --rm \ --entrypoint=/bin/sh -it \ --volume $(pwd):/src \ --volume $(pwd)/odc-reports:/report:z \ owasp/dependency-check-action:latest /usr/share/dependency-check/bin/dependency-check.sh --scan /src --format HTML --project app --out /report
Параметр --failOnCVSS SCORE задает рейтинг найденных уязвимостей, при котором проверка упадет. Например, параметр --failOnCVSS 9.0 приведет к падению сценария проверки, если одна или более найденных уязвимостей будут иметь рейтинг >= 9.0.
О рейтинге уязвимостей - https://nvd.nist.gov/vuln-metrics/cvss
# ... /usr/share/dependency-check/bin/dependency-check.sh \ --scan /src --format HTML --project app --out /report --failOnCVSS 9.0 # ... # [INFO] Writing report to: /report/dependency-check-report.html # [ERROR] # # One or more dependencies were identified with vulnerabilities that have a CVSS score greater than or equal to '9.0': # # app.jar: h2-1.4.197.jar: CVE-2022-23221(9.8), CVE-2021-42392(9.8) # app.jar: spring-core-5.3.13.jar: CVE-2022-22965(9.8) # app.jar: spring-web-5.3.13.jar: CVE-2022-22965(9.8), CVE-2016-1000027(9.8)
Уязвимости в Docker-образах
Gitlab Way
https://docs.gitlab.com/ee/user/application_security/container_scanning/
# --- check Docker image for vulnerabilites docker run --rm \ -e DOCKER_IMAGE=image-name \ registry.gitlab.com/security-products/container-scanning:5 \ gtcs scan
Результат работы проверки всегда позитивный, независимо от наличия найденных уязвимостей (перепроверить). Для того, что проверка "падала", необходимо в конфигурации линии сборки добавить следующую конфигурацию:
script: - gtcs scan # --- gtcs always exit with 0 so job always success # --- workaround # see https://gitlab.com/gitlab-org/gitlab/-/issues/213087 - sudo apt update && sudo apt install -y jq - | [ $(jq '.vulnerabilities | length' gl-container-scanning-report.json) -eq 0 ]
Trivy
https://github.com/aquasecurity/trivy
trivy image nginx:latest