甲方安全建设之研发安全-SCA

这篇具有很好参考价值的文章主要介绍了甲方安全建设之研发安全-SCA。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言

大多数企业或多或少的会去采购第三方软件,或者研发同学在开发代码时,可能会去使用一些好用的软件包或者依赖包,但是如果这些包中存在恶意代码,又或者在安装包时不小心打错了字母安装了错误的软件包,则可能出现供应链攻击。因此去识别采购或者自研项目中的软件包,来保证其版本足够新、不存在恶意代码是解决供应链的一项重要措施,而SCA(软件成分分析)可以帮助完成这一动作。

OpenSCA-cli

下载地址:https://github.com/XmirrorSecurity/OpenSCA-cli 使用方法:首先使用了Docker的方式,快速扫描本地:docker run -ti --rm -v ${PWD}:/src opensca/opensca-cli笔者选择了一个自身的python项目,没发现风险:

甲方安全建设之研发安全-SCA

不知道是不是Docker中没漏洞数据库还是Docker中的自带的漏洞数据库太少导致。再次尝试使用Docker连接其SAAS云端的方式进行扫描,发现可能是Docker内应用程序问题,导致TLS验证失败:

Get "https://opensca.xmirror.cn/oss-saas/api-v1/open-sca-client/aes-key?clientId=SxxxZVL&ossToken=xx-xx-xx-xx-xx": tls: failed to verify certificate: x509: certificate signed by unknown autho

反正核心都是使用opensca-cli ,因此直接使用Github下载的二进制文件进行了本地扫描:

 -token xe43dxxf55-xx-xx-xx-xxx -proj "" -path ${待检测目标路径}

云端还是能扫出不少东西的:

甲方安全建设之研发安全-SCA

DependencyTrack

下载地址:https://github.com/DependencyTrack/dependency-track参考官方文档:https://docs.dependencytrack.org/getting-started/deploy-docker/这里使用Docker启动,且先不使用数据库:

curl -LO https://dependencytrack.org/docker-compose.yml
​
docker-compose up -d

根据docker-compose.yml内容,frontend前端端口是8080,访问8080,使用admin/admin登录:

甲方安全建设之研发安全-SCA

【----帮助网安学习,以下所有学习资料免费领!加vx:dctintin,备注 “博客园” 获取!】

 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)

这里依然以python项目为例,使用python-sbom生成工具生成sbom:https://github.com/CycloneDX/cyclonedx-python

python -m pip install cyclonedx-bom
​
python3 -m cyclonedx_py -h
​
python3 -m cyclonedx_py  requirements -o out.json

然后到Projects->Create project->Components->Upload BOM上传生成的BOM即可。

甲方安全建设之研发安全-SCA

发现一个问题,就以python为例,DependencyTrack解析的是requirements等方式来获取的软件清单,相比于OpenSCA-cli少了很多,比如hostScan项目中的requirements.txt文件里面的包就是17个,DependencyTrack识别到的就是17个:

甲方安全建设之研发安全-SCA

而OpenSCA-cli会发现一些依赖的包:

甲方安全建设之研发安全-SCA

更多网安技能的在线实操练习,请点击这里>>

  文章来源地址https://www.toymoban.com/news/detail-844488.html

到了这里,关于甲方安全建设之研发安全-SCA的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 为什么mysql使用的是B+树而nosql类型的数据库大多数使用的是LSM树

    MySQL和LSM Tree(一种基于日志的存储引擎)都是关系型数据库,但它们在数据结构的选择上有所不同。 MySQL使用B+树作为其默认的索引结构,因为B+树在某些方面比LSM树更适合作为默认的索引结构。B+树的查询和更新速度相对较快,而且它的写入操作通常是基于内存的。这意味着

    2024年02月06日
    浏览(103)
  • R语言【base】——data.frame():创建数据框,紧耦合的变量集合,它们共享矩阵和列表的许多属性,被大多数R建模软件用作基本数据结构。

    Package  base  version 4.2.0 创建数据框(data frame),紧耦合的变量集合,它们共享矩阵和列表的许多属性,被大多数R建模软件用作基本数据结构。 数据框:一种在统计分析和数据处理中常用的数据结构,由行和列组成,类似于电子表格。 参数【...】:这些参数的形式是 value 或

    2024年02月21日
    浏览(51)
  • 甲方安全建设之SDLC落地心得

    从业安全很久了,入职一年后,就经常听到SDL,一直在甲方做安全,见过太多关于SDL的“假大空”方面的内容,我最擅长的就是拿出微软的那张图,对照着图,把每个阶段该做什么事,原封不动的读一遍,偶尔发散一下… 先确定一下用词规范吧,SDL很早之前只是:软件开发生

    2024年02月14日
    浏览(38)
  • 甲方安全建设之日志采集实操干货

    没有永远的安全,如何在被攻击的情况下,快速响应和快速溯源分析攻击动作是个重要的话题。想要分析攻击者做了什么、怎么攻击进来的、还攻击了谁,那么日志是必不可少的一项,因此我们需要尽可能采集多的日志来进行分析攻击者的动作,甚至在攻击者刚落脚的时候就

    2024年04月08日
    浏览(40)
  • 信息安全-应用安全-软件成分安全分析(SCA)能力的建设与演进

    SCA 概念出现其实很久了。简单来说,就是针对现有的软件系统生成粒度非常细的 SBOM(Software Bill of Materials 软件物料单)清单,然后通过⻛险数据去匹配有没有存在⻛险组件被引用。目前,市面上比较出色的商业产品包括 Synopsys 的 Blackduck 、Snyk 的 SCA 、HP 的 Fortify SCA 等,开

    2024年02月16日
    浏览(46)
  • 航天智信:严控航天系统研发安全,助力建设“航天强国”

    航天智信作为中国航天科工三院在信息装备领域“做大做强”的重要布局,主要从事系统运用与联合体系研究,复杂信息系统的顶层设计、总体论证及研制生产,提供体系级、系统级信息系统整体解决方案,以及信息安全系统的设计研发与集成验证。 研发复杂的航天系统 代

    2024年02月09日
    浏览(35)
  • 超纯试剂纯化研发实验室建设要求分析

    超纯试剂通常是指用于药品研发和生产的高纯度化学试剂,这些试剂的纯度和质量对药品的安全性和有效性具有重要影响。超纯试剂纯化研发实验室主要是研究和开发新的超纯试剂及其制备方法,以确保其符合医药领域对试剂质量的要求。这些实验室通常配备有先进的设备和

    2024年02月05日
    浏览(47)
  • 甲方安全之仿真钓鱼演练(邮件+网站钓鱼)

    声明: 禁止一切非法网络钓鱼行动,本文章旨在安全分享,仅供安全学习探讨,如非法未授权进行网络钓鱼,由此引起的责任与后果自行承担,当你继续阅读下文,即默认同意此声明! 1.1 前言   “人是系统中最大的漏洞“,信息安全中,人也是最难避免的安全因素,由此

    2023年04月18日
    浏览(53)
  • 网络安全面试题整理——甲方类(含答案解析)

    以下是对目前部分热门的甲方面试/笔试题(偏管理和运营)的总结和思考,希望可以帮助到正在准备甲方面试的你们; 愿我们披荆斩棘,享受前进路上的每一处风景 1. 简述一下目前主流编程语言的相关漏洞 答:这个题的相关思路就是聊一聊目前主流语言的漏洞,你可以从两

    2024年02月08日
    浏览(61)
  • 助力建设全球研发中心城市,长沙智能网联产业的新命题

    作者 | 魏启扬 来源 | 洞见新研社 “两年、三年太短了,八年、十年变数又太大,很难看清楚。” 五年时间,一个人能够完成一次进修,或是一次调岗,亦或是不止一次的晋升。 五年时间,我们可以精熟一门可以傍身的技能,或者在一个学术领域完成系统性的知识储备……

    2024年02月12日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包