在Jenkins及GitlabCI中集成OpenSCA，轻松实现CI/CD开源风险治理

本文转自 OpenSCA社区 并作补充

插播：
OpenSCA-cli 现支持通过 homebrew 以及 winget 安装：

Mac/Linux

1	brew install opensca-cli

Windows

1	winget install opensca-cli

总有小伙伴问起如何在CI/CD中集成OpenSCA，文档它这不就来啦~

若您解锁了其他OpenSCA的用法，也欢迎向项目组来稿，将经验分享给社区的小伙伴们~

Jenkins

在 Jenkins 中集成 OpenSCA，需要在 Jenkins 构建机器中安装 OpenSCA-cli。OpenSCA-cli 支持主流的操作系统，包括 Windows、Linux、MacOS，亦可通过 Docker 镜像运行。

Freestyle Project

对于自由风格的项目，可以通过在构建步骤中添加 Execute shell 或 Execute Windows batch command 来执行 OpenSCA-cli。

以 Execute shell 为例：

1 2 3 4 5 6

# install opensca-cli curl -sSL https://raw.githubusercontent.com/XmirrorSecurity/OpenSCA-cli/master/scripts/install.sh | sh # export opensca-cli to PATH export PATH=/var/jenkins_home/.config/opensca-cli:$PATH # run opensca scan and generate reports(replace {put_your_token_here} with your token) opensca-cli -path $WORKSPACE -token {put_your_token_here} -out $WORKSPACE/results/result.html,$WORKSPACE/results/result.dsdx.json

• install.sh 会默认将 OpenSCA 安装在用户家目录 .config 目录下，请根据实际情况调整 PATH 环境变量或使用绝对路径。

Pipeline Project

对于流水线项目，可以通过在流水线脚本中添加 sh 或 bat 来执行 OpenSCA-cli。以 sh 为例

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

pipeline { agent any stages { stage('Build') { steps { // Get some code from a GitHub repository // build it, test it, and archive the binaries. } } stage('Security Scan') { steps { // install opensca-cli sh "curl -sSL https://raw.githubusercontent.com/XmirrorSecurity/OpenSCA-cli/master/scripts/install.sh | sh" // run opensca scan and generate reports(replace {put_your_token_here} with your token) sh "/var/jenkins_home/.config/opensca-cli/opensca-cli -path $WORKSPACE -token {put_your_token_here} -out $WORKSPACE/results/result.html,$WORKSPACE/results/result.dsdx.json" } } } post { always { // do something post build } } }

(可选) 添加构建后动作

在 Jenkins 中，可以通过 Post-build Actions 来实现保存制品、报告等操作，例如可以通过 Publish HTML reports 插件来保存并展示 OpenSCA-cli 生成的 HTML 报告。
*请注意，OpenSCA 生成的 HTML 报告需启用 JavaScript 才能正常显示。这需要修改 Jenkins 的安全策略，具体操作请参考 Jenkins 官方文档。这可能会导致 Jenkins 的安全性降低，因此请谨慎操作。

修改 Jenkins CSP

在 Jenkins 的 Manage Jenkins -> Script Console 中执行以下脚本：

1	System.setProperty("hudson.model.DirectoryBrowserSupport.CSP", "sandbox allow-scripts; default-src 'self'; img-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval';")

执行完成后，需重启 Jenkins 服务。

确保您已经安装了 Publish HTML reports 插件，然后在 Jenkins 项目的 Post-build Actions 中添加 Publish HTML reports：

成功构建后，在 Jenkins Job 的 Dashboard 中，即可看到 OpenSCA-cli 生成的 HTML 报告

Pipeline Script 示例

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

post { always { // do something post build publishHTML( [ allowMissing: false, alwaysLinkToLastBuild: true, keepAll: true, reportDir: 'results', reportFiles: 'result.html', reportName: 'OpenSCA Report', reportTitles: 'OpenSCA Report', useWrapperFileDirectly: true ] ) } }

GitLab CI

在 GitLab CI 中集成 OpenSCA，需要在 GitLab Runner 中安装 OpenSCA-cli。OpenSCA-cli 支持主流的操作系统，包括 Windows、Linux、MacOS，亦可通过 Docker 镜像运行。

1 2 3 4 5 6 7 8 9 10 11 12

security-test-job: stage: test script: - echo "do opensca scan..." - curl -sSL https://raw.githubusercontent.com/XmirrorSecurity/OpenSCA-cli/master/scripts/install.sh | sh - /root/.config/opensca-cli/opensca-cli -path $CI_PROJECT_DIR -token {put_your_token_here} -out $CI_PROJECT_DIR/results/result.html,$CI_PROJECT_DIR/results/result.dsdx.json artifacts: paths: - results/ untracked: false when: on_success expire_in: 30 days

完整示例

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44

stages: - build - test - deploy build-job: stage: build script: - echo "Compiling the code..." - echo "Compile complete." unit-test-job: stage: test script: - echo "do unit test..." - sleep 10 - echo "Code coverage is 90%" lint-test-job: stage: test script: - echo "do lint test..." - sleep 10 - echo "No lint issues found." security-test-job: stage: test script: - echo "do opensca scan..." - curl -sSL https://raw.githubusercontent.com/XmirrorSecurity/OpenSCA-cli/master/scripts/install.sh | sh - /root/.config/opensca-cli/opensca-cli -path $CI_PROJECT_DIR -token {put_your_token_here} -out $CI_PROJECT_DIR/results/result.html,$CI_PROJECT_DIR/results/result.dsdx.json artifacts: paths: - results/ untracked: false when: on_success expire_in: 30 days deploy-job: stage: deploy environment: production script: - echo "Deploying application..." - echo "Application successfully deployed."

Dependency Track BOM文件推送插件使用

本文转自 Yemoox 并作补充

一、干活啦，猪头

开源第三方扫描工具Dependency的免费版-Dependency Track，用户第三方组件的漏洞监控，只需要推送BOM文件，就可以自动创建项目，然后进行检查。但在Java项目里，只有pom.xml文件，如何把利用pom.xml快速的生成bom文件，则成了如何帅气使用dependency Track的重要问题。靠着孜（不）孜（要）不（脸）倦（屁）的精神，终于把这个问题搞定了。

二、配置pom.xml文件

首先获取pom.xml文件，用IDEA打开，并为这个文件单独创建项目。

此时需要进行dependency Track的插件配置，插件地址为：https://github.com/pmckeown/dependency-track-maven-plugin，这里进行插件配置。
在pom.xml文件中找到plugins插件配置位置，添加插件：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37

<plugin> <groupId>io.github.pmckeown</groupId> <artifactId>dependency-track-maven-plugin</artifactId> <version>1.0.0</version> <configuration> <dependencyTrackBaseUrl>dependencyTrack URL</dependencyTrackBaseUrl> <apiKey>api_key</apiKey> </configuration> </plugin> <plugin> <groupId>org.cyclonedx</groupId> <artifactId>cyclonedx-maven-plugin</artifactId> <version>2.5.1</version> <executions> <execution> <phase>package</phase> <goals> <goal>makeAggregateBom</goal> </goals> </execution> </executions> <configuration> <projectType>library</projectType> <schemaVersion>1.2</schemaVersion> <includeBomSerialNumber>true</includeBomSerialNumber> <includeCompileScope>true</includeCompileScope> <includeProvidedScope>true</includeProvidedScope> <includeRuntimeScope>true</includeRuntimeScope> <includeSystemScope>true</includeSystemScope> <includeTestScope>false</includeTestScope> <includeLicenseText>false</includeLicenseText> <outputFormat>all</outputFormat> <outputName>bom</outputName> </configuration> </plugin>

在dependencyTrackBaseUrl条目中加入你的dependencyTrack地址，也就是你的访问URL，apikey条目中加入你的apikey，可在你的后台获取，注意这个apikey需要有添加权限，我这里直接给的最高的，避免出现未知情况。如果你的pom.xml文件中没有私有仓库地址，就可以运行命令进行生成bom文件，然后上传。

三、Maven私有仓库配置

因为演示的pom.xml中包含私有仓库，则需要对Maven进行私有仓库配置。如果你使用的是本地搭建的maven，则需要修改setting文件。如果是使用的是IDEA自带的Maven则需要改IDEA的maven配置。可以百度一下如何配置本地的maven私有库。

1	mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom

四、BOM文件生成与上传

现在已经在pom.xml中配置好了dependencyTrack插件，和maven私有仓库。则可以在pom.xml目录下，运行BOM生成命令。

1	mvn org.cyclonedx:cyclonedx-maven-plugin:makeAggregateBom

此时在当前目录下已经生成target文件夹，以及该文件夹下的bom.xml文件，在运行上传命令，上传bom文件，上传成功后便可以去dependencyTrack查看项目了。

1	mvn dependency-track:upload-bom

基于DependencyTrack实现第三方组件管理

本文转自 Pamela@涂鸦智能安全实验室 并作补充

前言

在日常安全工作中，我们可能会经常遇到以下两个比较典型的场景：

场景1:如果某天某个第三方组件爆出了安全漏洞，那么如何在最短的时间里确认：

我们有这么多开发组，有没有哪个团队在用这个第三方组件？

用了这个第三方组件的团队，他们使用的组件的版本是否受此次漏洞影响？

场景2：各个团队当前使用的第三方组件的情况各不相同，从全局风险的角度来看，当前这些被使用的第三方组件的安全状况如何？例如：

是否有团队在使用含有已知安全漏洞的组件？

是否某个被使用的第三方组件已经过时？

是否某个或某些组件不合规或者存在风险？

基于以上场景，DependencyTrack应运而生。第三方组件管理在是开发安全中非常重要的一环，在上篇文章《浅谈软件成分分析（SCA）在企业开发安全建设中的落地思路》中，我们介绍过开源软件的风险以及在企业开发安全建设中的落地思路，并且在里面也有提到开源工具Dependency Track，不过只是简单提了一下，没有过多深入。而在这篇文章中，我们将重点介绍DependencyTrack的概念、以及使用。

Dependency Track

基本概念

Dependency-Track是OWASP推出的一个智能供应链组件分析平台，它集成了4种漏洞数据库：NPM Public Advisories、National Vulnerability Database、Sonartype OSS Index和VulnDB，帮助组织识别和减少使用第三方和开源组件的风险。

Dependency Track VS Dependency check

可能你听说过甚至用过开源社区OWASP出品的DependencyCheck这款开源工具来扫描软件中的第三方组件（也叫‘依赖’）的安全性，可是今天我们要讲的不是这个工具，而是另一款名字和它非常相似的工具：DependencyTrack，同样也是OWASP出品。

这两个工具就一字之差，DependencyCheck和DependencyTrack，都是做依赖安全检查的，有啥本质区别？简单讲，如果说DependencyCheck是给开发团队使用的工具，那么DependencyTrack更多的是给安全团队使用的工具。企业或者组织中的安全团队可以借助DependencyTrack实现第三方组件的统一安全管理。

通过以上的对比可以知道的是，这两个工具都可以检测出第三方组件的安全问题，不过本质区别在于，DependencyCheck只能对第三方组件做安全检测并生成报告，仅此而已。DependencyTrack会保存历次第三方组件安全检测结果，你可以通过Dashboard了解或者追踪第三方组件的安全变化趋势。与此同时，DependencyTrack还提供了很多额外的功能，例如漏洞通知、全局审查第三方组件、审计第三方组件软件授权协议、API等等。

检测原理

从下图中，可以看到Dependency Track通过接收到生成的Software BOM(软件物料清单)，然后检查物料清单中的各个组件(以及当前清单中的版本)在漏洞数据库中是否存在已知安全漏洞的记录，并通过Dashboard展示出来。所以你需要先准备好一份SBOM清单，然后发送给Dependency Track，等待它完成扫描检测之后，然后在管理界面上查看结果。

你可能会问，SBOM是什么？SBOM（Software Bill of Material）翻译之后称为软件物料清单。通俗的解释就是我们用到的所有第三方组件依赖（包括第三方组件自己所依赖的其他第三方组件，换句话讲，依赖的依赖）的信息清单，这些内容包括author、group, licenses, versions and copyright等数据。

生成SBOM的工具有几个，其中比较有名的是CycloneDX。一旦我们有了BOM文件，我们就可以手动或通过整合CI/CD中的上传功能将其上传到Dependency-Track。Dependency track相当于一个漏洞库和分析引擎，它基于SBOM，在漏洞库中搜索，这样我们就可以获得比传统组件分析更完整、更复杂的信息。

核心架构

如图所示，Dpendency Track可以轻松集成到我们的CI/DC流程中。

Dependency Track默认集成了NVD、NPM Public Advisories、Sonatype OSS Index以及VulnDB 四个漏洞库，相比于其他开源检测工具单一的漏洞库，Dependency Track出现漏报或者误报的情况会小很多。同时它提供了强大的API集成功能（如openAPI和Jenkins的插件），在开发安全建设过程中我们可以将其整合到我们的pipeline中帮助DevOps团队提高开发流程速度，同时还能控制外部组件的使用和它们可能造成的风险。此外通过maven收集仓库中所有依赖包的信息，记录各个开发团队的应用程序所使用的各种第三方依赖信息，以便进行依赖包管理（版本控制、漏洞管理等）。在开发过程中可以基于soner bug追踪的组件安全跟踪，甚至fortify这样的代码白盒review介入，并通过邮件、钉钉告警通知安全团队、开发团队。

下面我们将通过简单的使用来感受一下。

基本使用

部署

DependencyCheck支持3种部署方式，分别是容器化部署、自运行安装包，以及可以直接在Tomcat里运行的WebApp包，此处以docker部署为例。

1 2 3 4 5 6 7 8

# 下载DependencyTrack镜像 docker pull owasp/dependency-track # 创建并使用宿主机上的存储以避免数据丢失 docker volume create --name dependency-track # 在8080端口上运行DependencyTrack，默认账户密码admin/admin docker run -d -m 8192m -p 8080:8080 --name dependency-track -v dependency-track:/data owasp/dependency-track

更换默认数据库（可选）

1 2 3 4 5 6 7

#1.根路径新建dependency-track目录，然后在该目录下新建application.properties文件，在文件中填写下面配置 alpine.database.mode=external alpine.database.url=jdbc:postgresql://localhost:5432/dtrack alpine.database.driver=org.postgresql.Driver alpine.database.username=dtrack alpine.database.password=password #2.使用命令docker-compose up重新启动一下，配置就生效了，启动时间可能略长。参考：<https://docs.dependencytrack.org/getting-started/database-support/>

这里输入账号和密码之后，会要求更改密码。正常输入账号密码之后就可以进入管理界面了，这里有一丢丢慢。。

进去之后，新建一个项目，如图所示：

接下来我们需要做的就是使用插件对代码项目生成bom.xml，类似pip request requirements，清点出使用的组件。Dependency track相当于一个漏洞库和分析引擎，这个方法好处就是只需要在客户端直接生成bom.xml，PUT track的REST接口即可。

总结起来分为两步：

1. 生成bom.xml文件
2. 将生成的bom.xml文件上传到Dependency-Track

有很多工具可以帮我们生成SBOM，例如CycloneDX Maven Plugin和cyclonedx-gradle-plugin，因为我采用Jenkins做构建工具，故此处使用OWASP Dependency-Track插件来生成SBOM。

首先，需要在jenkins中安装 OWASP Dependency-Track插件，搜索OWASP，第一个便是，选择安装即可。

安装成功后，我们需要新建一个job,点击进入配置里面，可以看到Publish BOM to Dependency-Track这一项，这个插件可以在执行一些操作后，将扫描出的三方依赖相关信息上传到Dependency-Track的服务里面，以便于分析。

接着在jenkins的job配置中做如下事情：

1. 在源码管理模块配置拉取代码
2. 在构建模块，选择Excute shell填写如下内容

1 2 3 4

# 打包 mvn clean install -D mvn.test.skip=true # 生成bom.xml文件 mvn org.cyclonedx:cyclonedx-maven-plugin:makeBom

1. 构建后在操作模块，选择Publish BOM to Dependency-Track，填写生成bom.xml的路径，具体如下

最后，在配置完成后构建job,构建完成后即可在Dependency-Track的web页面看到上传的结果，包括项目的组件，三方依赖的漏洞信息等等内容，然后可根据分析结果进行针对性修复。其他配置可参考https://docs.dependencytrack.org/

这里如果推送失败的话，可以试下这个脚本。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

try { $xml = Get-Content (Join-Path $PSScriptRoot ".\\bom.xml") –Raw $ProjectGuid = "xxx" $ApiKey = "xxx” $Uri = "<http://localhost:8080>" $Body = ([PSCustomObject] @{ project = $ProjectGuid bom = ([Convert]::ToBase64String([Text.Encoding]::UTF8.GetBytes($xml))) } | ConvertTo-Json) $Header = @{ 'X-API-Key' = $ApiKey } Invoke-RestMethod –Method Put –Uri "$Uri/api/v1/bom" –Headers $Header –ContentType "application/json" –Body $Body } catch { Write-Host $_ }

卸载

docker rmi owasp/dependency-track
docker rm dependency-track
docker volume rm dependency-track:/data

Reference

docs.dependencytrack.org

https://zhuanlan.zhihu.com/p/269080779

https://mp.weixin.qq.com/s/_6G3gQHKoTmFKkdiE2gBLg

https://medium.com/devroot/deploying-dependency-track-as-a-container-in-azure-and-building-a-pipeline-with-azure-devops-ab1627961114

Dependency Check

本文转自 icybersec 并作补充

https://github.com/jeremylong/DependencyCheck

简介

Dependency-Check 是一个开源的安全漏洞扫描工具，用于检查应用程序和依赖项中的已知漏洞。它可以扫描各种编程语言的依赖项，如Java、Python、.NET等，并根据公开的漏洞数据库，如NVD、OSV等，检查依赖项的版本是否存在已知的安全漏洞。

Dependency-Check 可以通过命令行或插件集成到各种构建工具中，如Maven、Gradle、Ant等。它会生成报告，显示已检测到的漏洞以及建议的修复措施。这些报告可以帮助开发人员识别和解决与应用程序或依赖项相关的安全问题，从而提高应用程序的安全性。

cli

dependency-check.sh支持的参数：

• –advancedHelp：打印高级帮助信息。
• –enableExperimental：启用实验性的分析器。
• –exclude ：指定一个排除模式。可以多次指定此选项，并接受 Ant 风格的排除。
• -f,–format ：指定报告格式（HTML、XML、CSV、JSON、JUNIT、SARIF、JENKINS 或 ALL）。默认为 HTML。可以指定多个格式参数。
• –failOnCVSS ：指定如果检测到 CVSS 分数高于指定级别的漏洞，构建是否应该失败。默认为 11；由于 CVSS 分数为 0-10，因此默认情况下构建永远不会失败。
• -h,–help：打印帮助信息。
• –junitFailOnCVSS ：指定在生成 junit 报告时，被认为是失败的 CVSS 分数。默认值为 0。
• -l,–log ：写入详细日志信息的文件路径。
• -n,–noupdate：禁用自动更新 NVD-CVE、hosted-suppressions 和 RetireJS 数据。
• -o,–out ：写入报告的文件夹路径。默认为当前目录。如果未将格式参数设置为 ALL，则可以将其设置为特定的文件名。
• –prettyPrint：指定 JSON 和 XML 报告格式将被漂亮地打印。
• –project ：正在扫描的项目的名称。
• -s,–scan ：要扫描的路径 - 可以多次指定此选项。支持 Ant 风格的路径（例如，’path/**/*.jar’）；如果使用 Ant 风格的路径，则强烈建议将参数值用引号引起来。
• –suppression ：抑制 XML 文件的文件路径。可以多次指定此选项以使用多个抑制文件。
• -v,–version：打印版本信息。

对webgoat7的组件进行扫描

https://github.com/mpogr/WebGoat-7.0.1

1	./dependency-check.sh -s /tmp/WebGoat-7.0.1/ --project webgoat

输出扫描报告，没有扫描到有用的东西。

jenkins

docker启动Jenkins

1	docker run -itd -p 8080:8080 -p 50000:50000 -u root -v /tmp/jenkins:/var/jenkins_home -v /tmp/maven:/usr/local/maven jenkins/jenkins:2.344

安装插件

全局工具配置

Jenkins可以通过全局工具配置来安装一个或多个Dependency-Check版本。可以自动安装Dependency-Check，这将从Github下载并提取官方的命令行界面（CLI），或者可以手动安装官方版本，并在配置中引用安装路径。Dependency-Check是一个用于识别应用程序中存在的已知漏洞和依赖项的开源工具。

Builder

Builder是指使用预定义的Dependency-Check CLI安装之一执行分析的组件。在Jenkins中，特定于配置的部分很少，工作配置中的重要方面是“Arguments”字段，该字段直接发送到定义的CLI安装程序。Builder用于在Jenkins工作流中集成Dependency-Check分析。Builder的配置将传递给Dependency-Check CLI进行分析，并将分析结果传递回Jenkins用于显示和后续处理。

对webgoat进行maven编译，生成JAR包

Publisher

Publisher是一个独立于工具配置或Builder的组件，负责读取dependency-check-report.xml并生成指标、趋势、发现，并根据可配置的阈值选择性地将构建设为失败或警告状态。在Jenkins工作流程中，Publisher用于生成Dependency-Check的度量和报告，并可根据预定义的阈值将构建标记为失败或警告状态。通过读取dependency-check-report.xml文件，Publisher可以对构建进行分析并提供有关依赖项和已知漏洞的详细信息。

结果

构建结果

当任务配置了Publisher时，趋势图将显示按严重性分组的结果总数。

点击Latest Dependency-Check，可以看到具体的组件报告

maven

mvn

这是 Maven 插件 Dependency-Check 的命令，用于检测应用程序依赖项中已知漏洞并生成报告。

1	mvn org.owasp:dependency-check-maven:check

1	mvn org.owasp:dependency-check-maven:aggregate

命令执行是全面的漏洞扫描，并生成包含所有依赖项中已知漏洞信息的报告

使用maven进行扫描webgoat7可以看到报告里面有JAR包组件漏洞，比直接CLI扫描更能发现问题。

pom.xml

①检测组件

在目标目录中创建 dependency-check-report.html

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

<project> ... <build> ... <plugins> ... <plugin> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven</artifactId> <version>8.1.2</version> <executions> <execution> <goals> <goal>check</goal> </goals> </execution> </executions> </plugin> ... </plugins> ... </build> ... </project>

在IDEA进行maven verify，生成报告

②检测所有依赖项

在站点内创建汇总的依赖性检查报告

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

<project> ... <reporting> ... <plugins> ... <plugin> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven</artifactId> <version>8.1.2</version> <reportSets> <reportSet> <reports> <report>aggregate</report> </reports> </reportSet> </reportSets> </plugin> ... </plugins> ... </reporting> ... </project>

③CVSS评分过滤

创建 dependency-check-report.html 并使 CVSS 大于或等于 8 的构建失败

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27

<project> ... <build> ... <plugins> ... <plugin> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven</artifactId> <version>8.1.2</version> <configuration> <failBuildOnCVSS>8</failBuildOnCVSS> </configuration> <executions> <execution> <goals> <goal>check</goal> </goals> </execution> </executions> </plugin> ... </plugins> ... </build> ... </project>

效果如下

④跳过没有使用到组件

通常情况下，使用 mvn org.owasp:dependency-check-maven:aggregate命令来运行 OWASP 的 “dependency-check-maven” 插件，以检查项目依赖项中是否存在已知的安全漏洞，并生成报告。

但是，有时候我们不想包含某些依赖项，比如 provided 范围的依赖，这些依赖项不会被打包到分发包中，因此不需要进行漏洞检查。在这种情况下，可以使用上述命令来创建报告并跳过这些依赖项，以提高效率和减少报告中的噪音。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27

<project> ... <build> ... <plugins> ... <plugin> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven</artifactId> <version>8.1.2</version> <configuration> <skipProvidedScope>true</skipProvidedScope> </configuration> <executions> <execution> <goals> <goal>check</goal> </goals> </execution> </executions> </plugin> ... </plugins> ... </build> ... </project>

⑤使用内部CVE源

创建 dependency-check-report.html报告文件，并使用内部 CVE 内容的镜像。这意味着，dependency-check-maven插件将使用本地存储的 CVE 内容，而不是从网络上获取。这通常可以提高扫描的速度，并且可以在没有网络连接的情况下进行扫描。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

<project> ... <build> ... <plugins> ... <plugin> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven</artifactId> <version>8.1.2</version> <configuration> <cveUrlModified>http://internal-mirror.mycorp.com/nvdcve-1.1-modified.json.gz</cveUrlModified> <cveUrlBase>http://internal-mirror.mycorp.com/nvdcve-1.1-%d.json.gz</cveUrlBase> </configuration> <executions> <execution> <goals> <goal>check</goal> </goals> </execution> </executions> </plugin> ... </plugins> ... </build> ... </project>

⑥仅更新仓库

从 NIST 更新 NVD 数据的本地缓存，而不分析依赖关系。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

<project> ... <build> ... <plugins> ... <plugin> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven</artifactId> <version>8.1.2</version> <executions> <execution> <goals> <goal>update-only</goal> </goals> </execution> </executions> </plugin> ... </plugins> ... </build> ... </project>

⑦抑制误报

使用多个抑制文件（例如公司范围的抑制文件和本地项目文件）抑制误报。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

<project> ... <build> ... <plugins> ... <plugin> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven</artifactId> <version>8.1.2</version> <configuration> <suppressionFiles> <suppressionFile>http://example.org/suppression.xml</suppressionFile> <suppressionFile>project-suppression.xml</suppressionFile> </suppressionFiles> </configuration> <executions> <execution> <goals> <goal>check</goal> </goals> </execution> </executions> </plugin> ... </plugins> ... </build> ... </project>

【安全测试】Owasp Dependency-check 集成jenkins

本文转自 码上起舞 并作补充

一、目的

本文主要记录我在搭建安全体系中第三方依赖检查的过程中，使用Owsap dependency-check的过程及问题

二、OWASP Dependency-check简介

dependency-check适用于对代码中使用到的第三方依赖包进行扫描检测，查看引入的第三方包是否有已知的漏洞和缺陷，及早暴露风险及解决。

其原理可以在另一篇文章中查看。

三、OWASP Dependency-check 安装及使用

dependency check支持jenkins插件集成，也支持linux下命令行模式执行，还支持maven等。

ps：maven集成需要修改pom.xml，然后用命令

• mvn org.owasp:dependency-check-maven:check
• mvn dependency:list|grep -i “log4j*”
• mvn dependency:tree

我们采用linux下命令行模式执行，然后在jenkins中execute shell集成denpendency-check的脚本，并利用jenkins插件，发布dependency-check的报告。

3.1 dependency-check下载

1. command line安装包下载地址：https://owasp.org/www-project-dependency-check/
2. jenkins插件下载地址：http://updates.jenkins-ci.org/download/plugins/dependency-check-jenkins-plugin/

点击Command Line，即可下载 dependency-check-7.0.4-release.zip

3.2 dependency-check使用（纯cmd模式）

将下载下来的dependency包解压后，进入bin目录，可以看到有dependency-check.sh 和dependency-check.bat脚本，sh脚本是linux使用脚本，bat是windows使用脚本。

我们以linux使用为例，将解压后文件夹拷贝到linux目录/data/tools

进入bin目录，执行 sh dependency-check.sh -help 查看命令行使用帮助。

执行扫描命令如下：

DIR=/data/tools/apps/

sh /data/tools/dependency-check/bin/dependency-check.sh -s ${DIR} –format HTML –format XML -o ./ –disableNodeAudit

命令行说明：

• -s ：扫描对象的路径，扫描的是文件夹路径下的所有文件的，例如war包，jar包均可被扫描
• –format：生成报告的格式
• -o :报告生成的路径

3.3 查看扫描结果

在-o指定的路径下会生成dependency的dependency-check-report.html报告，浏览器打开即可查看扫描内容

扫描结果会有个工程汇总信息，总共扫描多少个dependencies，有多少个漏洞被发现等

在工程信息下面会有汇总信息，比如对应的每个依赖包，例如abc.jar包，对应的cpe信息，以及枚举的漏洞级别数量等信息，每个漏洞对应具体的CVE号。需要具体分析；

也可以结合jenkins发布xml报告，查看更详细的信息，见步骤四。

四、dependency-check集成jenkins配置

• 目的：扫描指定路径下的文件，路径下可能有需要部署的jar包和war包。路径暂定jenkins的变量${WORKSPACE}
• 前提：

1. 安装jenkins的dependency-check查看，方便发布报告用。
2. 部署jenkins的linux服务器上已经安装第三部安装好dependency check软件包。

4.1 新建jenkins工程，自由风格

配置完成后构建效果如下，可以上传文件（jar，war，zip等包，点击构建开始扫描）

配置上传文件如下：

4.2 execute shell

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89

cp jsrepository.json.right jsrepository.json #这步是因为有时候会构建失败，然后发现jsrepository.json是空的，每次扫描前用一个正确的去替换，确保扫描的稳定性 echo ${BUILD_NUMBER}echo ${WORKSPACE}cd ${WORKSPACE} sh /home/appdeploy/dependency-check/bin/dependency-check.sh -s ${WORKSPACE}/file/ --format HTML --format XML -o ./ #如果使用本地库，需加上如下命令参数（本地镜像库需自己搭建后，将这些文件发布成可以http访问） --cveUrlModified http://nvdcve-mirror.domain.com/nvdcve-1.1-modified.json.gz  --cveUrlBase http://nvdcve-mirror.domain.com/nvdcve-1.1-%d.json.gz ### 4.3 jenkins发布xml报告  ### 4.4 jenkins发布html报告  ### 4.5 构建完成后查看html报告  ### 4.6 查看jenkins发布的xml报告 点击进入构建号的build页，左侧可以看到Dependency-check的选项，点击即可出现表格式的漏洞汇总   说明：在这个dependecny-check结果列表里面，会列出所有有漏洞的第三方依赖包，包括依赖包的名字，对应的漏洞CVE id，漏洞等级等信息，点击对应的包名，可以查看依赖包所在的路径，以及漏洞的描述。如果信息不够，可以查看html中的详细内容，以及搜索对应的CVE编号，去NVD漏洞库中查看完整的漏洞信息及解决方案。 NVD漏洞库：https://nvd.nist.gov/vuln/detail/CVE-2020-44226 不同的漏洞编号，替换后面的CVE编号查询即可。 **报告中一些重要字段的含义：** · Dependency - 被扫描的第三依赖库名字 · CPE - 所有被识别出来的CPE. · GAV - Maven 组, Artifact, 版本 (GAV). · Highest Severity - 所有关联的cve的最高漏洞等级 · CVE Count - 关联的cve个数 · CPE Confidence - dependency-check正确识别cpe的程度 · Evidence Count - 识别CPE的数据个数 ### 4.7 举一反三 - 1.扫描中的dir可以提取出来当build with param的参数，可以单独执行，也可以上下游工程串联执行 - 2.扫描中的dir可以是git自动down下来的文件夹目录，即只要构建参数指定git地址和分支名称，即可实现对该分支自动扫描 ## 五、解析html文件用于消息的发送 解析html报告的代码文件get_security_result.py，获取html报告中summary数据中的critical的漏洞数量 ```python from bs4 import BeautifulSoup from lxml import etree class GetSecRes: def get_dependency_critical_num_with_lxml(self, filename): ''' 用lxml库解析安全扫描的html报告，并统计出其中的critical的漏洞数量 :param filename: dependency-check扫描完成后生产的html文件，文件名全路径 :return:critical数量 ''' # 读取html文件 with open(filename, encoding='utf-8') as f: data = f.read() doc = etree.HTML(data) # 获取漏洞汇总表中的漏洞行信息 trs = doc.xpath('//*[@id="summaryTable"]//tr[@class=" vulnerable"]') criticalres = [] # 统计出每行的critical数量 for tr in trs: tr_list = tr.xpath('./td/@data-sort-value') td_text = tr.xpath('./td/text()') tr_list.extend(td_text) [criticalres.append(td) for td in tr_list if "CRITICAL" == td] return (len(criticalres)) if __name__ == '__main__': import sys filename = sys.argv[1] criticalres = GetSecRes().get_dependency_critical_num_with_lxml(filename) print(criticalres)

集成get_security_result.py到jenkins的execute shell中(在sh下执行python脚本)

1 2	critical=$(python3 /data/script/get_security_result.py ${DIR}/dependency-check-report.html) echo $critical

六、Troubshooting

6.1 Could not connect to Central search. Analysis failed.

问题描述：jenkins构建时，提示连接失败

问题解决：
https://issues.jenkins.io/browse/JENKINS-47991
1.原因是jenkins访问maven失败，需要在jenkins服务器开通访问 https://search.maven.org/这个地址的权限
2.测试访问：
# curl https://search.maven.org/

6.2 Failed to request component-reports

问题描述：

jenkins构建dependency-check时，生成报告，报错

问题解决：
1.原因是因为jenkins服务器无法访问https://ossindex.sonatype.org/
加上授权即可构建成功

6.3 owasp 需要的外网访问权限包括

https://nvd.nist.gov
https://search.maven.org/
https://ossindex.sonatype.org/
https://retirejs.github.io
https://github.com/advisories
https://registry.npmjs.org
https://www.npmjs.com