龙岗网站制作效果,门户网站开发哪种语言比较好,使用模板建站,重庆景点前言
大多数企业或多或少的会去采购第三方软件#xff0c;或者研发同学在开发代码时#xff0c;可能会去使用一些好用的软件包或者依赖包#xff0c;但是如果这些包中存在恶意代码#xff0c;又或者在安装包时不小心打错了字母安装了错误的软件包#xff0c;则可能出现供…前言
大多数企业或多或少的会去采购第三方软件或者研发同学在开发代码时可能会去使用一些好用的软件包或者依赖包但是如果这些包中存在恶意代码又或者在安装包时不小心打错了字母安装了错误的软件包则可能出现供应链攻击。因此去识别采购或者自研项目中的软件包来保证其版本足够新、不存在恶意代码是解决供应链的一项重要措施而SCA软件成分分析可以帮助完成这一动作。
OpenSCA-cli
下载地址 https://github.com/XmirrorSecurity/OpenSCA-cli 使用方法 首先使用了Docker的方式快速扫描本地docker run -ti --rm -v ${PWD}:/src opensca/opensca-cli 笔者选择了一个自身的python项目没发现风险 不知道是不是Docker中没漏洞数据库还是Docker中的自带的漏洞数据库太少导致。 再次尝试使用Docker连接其SAAS云端的方式进行扫描发现可能是Docker内应用程序问题导致TLS验证失败
Get https://opensca.xmirror.cn/oss-saas/api-v1/open-sca-client/aes-key?clientIdSxxxZVLossTokenxx-xx-xx-xx-xx: tls: failed to verify certificate: x509: certificate signed by unknown autho反正核心都是使用opensca-cli 因此直接使用Github下载的二进制文件进行了本地扫描 -token xe43dxxf55-xx-xx-xx-xxx -proj -path ${待检测目标路径}云端还是能扫出不少东西的 DependencyTrack
下载地址 https://github.com/DependencyTrack/dependency-track 参考官方文档 https://docs.dependencytrack.org/getting-started/deploy-docker/ 这里使用Docker启动且先不使用数据库
curl -LO https://dependencytrack.org/docker-compose.ymldocker-compose up -d根据docker-compose.yml内容frontend前端端口是8080访问8080使用admin/admin登录 帮助网安学习全套资料S信免费领取 ① 网安学习成长路径思维导图 ② 60网安经典常用工具包 ③ 100SRC分析报告 ④ 150网安攻防实战技术电子书 ⑤ 最权威CISSP 认证考试指南题库 ⑥ 超1800页CTF实战技巧手册 ⑦ 最新网安大厂面试题合集含答案 ⑧ APP客户端安全检测指南安卓IOS
这里依然以python项目为例使用python-sbom生成工具生成sbom https://github.com/CycloneDX/cyclonedx-python
python -m pip install cyclonedx-bompython3 -m cyclonedx_py -hpython3 -m cyclonedx_py requirements -o out.json然后到Projects-Create project-Components-Upload BOM上传生成的BOM即可。 发现一个问题就以python为例DependencyTrack解析的是requirements等方式来获取的软件清单相比于OpenSCA-cli少了很多比如hostScan项目中的requirements.txt文件里面的包就是17个DependencyTrack识别到的就是17个 而OpenSCA-cli会发现一些依赖的包
