开源软件安全检查工具
0x00 安全要求
为了有效发现开源软件存在的安全问题,避免带病上线,在投入使用或发布上线时,需要遵循以下要求:
- 开源软件投入使用或者集成到系统进行部署发布前,须提交开源软件的安全检测报告,若报告里面存在严重(critical)或者高危(high)漏洞,则需要由应用开发部门对其进行升级修复或者加固后,方可进行部署发布。
- 为了有效发现开源软件存在的安全问题,可以参考以下方式对开源软件进行安全检测,并提供安全检测报告。
0x01 发布前安全检测
1.开发完成时
在IDEA等研发工作台集成,建议使用Snyk Vulnerability Scanner进行开源组件漏洞或者查询附录1:常见开源软件安全版本列表进行自查。
目前Snyk Vulnerability Scanner插件最新版支持IDEA版本2020.2-2021.1,老旧版本或最新版本不一定支持具体,请参照插件官网及其介绍:Snyk Vulnerability Scanner - IntelliJ IDEs Plugin | Marketplace
安装成功后,需要进行激活认证,直接在IDEA 进行激活
如未能看到以上信息,需要手动激活,在Windows里面搜索并找到找到 snyk-win.exe,运行 snyk-win.exe auth
看到连接后,直接跳转到或者复制连接到浏览器,使用GitHub账号或者其他账号登录授权。如下图所示
代码编写完成进行测试时,建议下载依赖包进行完整性调试后,再点击Run scan
在结果当中,可以清晰看到
- 哪些第三方组件存在漏洞
- 这些漏洞的等级如CRITICAL、HIGH、MEDIUM、LOW等
- 漏洞修复版本、漏洞简要情况等。
2.完成调试时
当项目完成开发后或无GitHub账号或者登录授权出现问题导致Snyk Vulnerability Scanner不可用或者不使用IDEA进行开发等情况,可单独使用DependencyCheck,因为首次使用需要下载漏洞库,耗时会比较长,需要提前部署准备环境。
GitHub - jeremylong/DependencyCheck: OWASP dependency-check is a software composition analysis utility that detects publicly disclosed vulnerabilities in application dependencies.
Windows 平台参考使用命令行:dependency-check.bat --project aa -s D:\code\aa -o D:\aa.html
3.发布上线时
系统集成发布使用Jenkins平台,请在Jenkins启用dependency-check-plugin
OWASP Dependency-Check | Jenkins plugin
- 安装插件
[系统管理]-[插件管理]-[可选插件]安装OWASP Dependency-Check Plugin和Static Analysis Utilities
- 工具安装
[系统管理]-[全局工具配置]-[Dependency_check安装]
- 项目使用
生成html格式报告
0x03 其他参考工具
1.开源组件安全扫描(OSS/SCA)开源工具
对于软件开发过程中,需要对第三方组件进行漏洞检查方面,可以考虑到的开源产品:
Dependency-Check(可以结合maven、Jenkins、sonar使用);链接:GitHub - jeremylong/DependencyCheck: OWASP dependency-check is a software composition analysis utility that detects publicly disclosed vulnerabilities in application dependencies.
陌陌安全 MOSEC-X-PLUGIN 系列插件开源;链接:源海拾贝 | 陌陌安全 MOSEC-X-PLUGIN 系列插件开源 - 安全客,安全资讯平台
snyk 可以扫描node.js nmp、ruby、java依赖中的漏洞,协议授权安全,多平台集成;链接:Snyk | Developer security | Develop fast. Stay secure.
2. 开源组件安全扫描(OSS/SCA)商业产品
对于软件开发过程中,需要对第三方组件进行漏洞检查方面,可以考虑到的商业产品:
OSS方面的商业产品:BlackDuck
FOSSology,开源授权协议合规检查产品
snyk,可以扫描node.js nmp、ruby、java依赖中的漏洞,协议授权安全,多平台集成;链接:Snyk | Developer security | Develop fast. Stay secure.
JFrog Xray,安全漏洞及依赖分析平台;链接:JFrog Xray - Universal Component Analysis - JFrog
开源软件安全检查工具相关推荐
- OpenSSF的开源软件风险评估工具:Scorecards
对于IT从业者来说,Marc Andreessen 十年前提出"软件吞噬世界"的观点早已耳熟能详.无论是私人生活还是公共领域,软件为现代社会的方方面面提供动力,对现代经济和国家安全 ...
- 开源软件扫描工具fossolgy的研究
开源处理扫描工具的研究 文章目录 开源处理扫描工具的研究 FOSSology安装 在ubuntu上直接安装(失败) 使用源代码安装fossology(失败) 使用docker容器安装(成功) 在ubu ...
- 开源软件使用_消费开源软件:如何使用和购买
开源软件使用 供应商和原始设备制造商 (OEM)以及他们的IT客户,政府和学者都在使用,购买和制作开源软件,并且常常同时进行这三项活动. 这是考虑一个人与开源软件项目的关系的好方法. 关于开源软件项目 ...
- linux开源软件_使用Linux和免费的开源软件进行专业媒体制作
linux开源软件 是否可以使用免费的开源软件在Linux上制作专业媒体? 我们在Dototot坚信这一点. 我们仅运行Linux(Mint是我们的首选口味),并在可行时使用免费的开源软件. 在Ope ...
- creative thoughts开源软件
转载: https://zhuanlan.zhihu.com/p/609516460 1. IT公司研发系统系列工具打造 https://github.com/hokhyk/actionview.gi ...
- php制作软件工具,开源10款热门教学相关的开源软件(教学平台和制作工具)
百年大计,教育为本.本文收录了 2010 年度开源中国社区最受欢迎的 10 款跟教学服务和教学管理相关的开源软件,这些软件多数采用PHP开发,也有Java的系统. 1. BigBlueButton B ...
- 开源软件新时代:55个经典开源Windows工具
开源软件新时代:55个经典开源Windows工具 开放源代码软件已经成为一个时髦的名词,这里有两个有力的证据:Firefox浏览器的下载人次超过了2500万:同 时,基于Linux的Web服务器也占据 ...
- 开源软件新时代 55个经典开源Windows工具
开放源代码软件已经成为一个时髦的名词,这里有两个有力的证据:Firefox浏览器的下载人次超过了2500万:同时,基于Linux的Web服务器也占据了最大的市场份额.人们普遍相信,开放源代码软件(op ...
- 盘点现有开源软件许可合规工具
|原文出处:The Openchain Reference Tooling Work Group |翻译:刘天栋.Ted,开源社.ONES(开源战略研究组) |编辑:胡湘月 |设计:周颖 引言 开源软 ...
- 华为开源构建工具_构建开源软件长达5年并以故事为生
华为开源构建工具 I've been working on open-source software for 5 years now and I'm still going. It's not som ...
最新文章
- HDU 2717 Catch That Cow(BFS)
- 中国CIO最关心的八大问题(下)
- DataGrip 连接 Hive
- 轮播swiper配置选项
- Javascript在页面加载时的执行顺序
- 【图片服务器】搭建Nginx图片服务器
- COSCon'18 面向全宇宙招募志愿者啦!
- 兼容性测试之VMware
- 锁到底是一种怎样的存在?
- json同一个参数不同类型_js基础之变量类型
- 堪比整容!学会这些可视化技巧,让你的图表分分钟高级起来
- 无法处理文件 MainForm.resx,因为它位于 Internet 或受限区域中,或者文件上具有 Web 标记。要想处理这些文件,请删除 Web 标记...
- c语言 链接器 原理,新手向的链接器知识普及/////就是这样的说
- 【基于zxing的编解码实战】zxing项目源码解读(2.3.0版本,Android部分)
- 【百度网盘】老罗android开发视频教程[压缩后3.63G]
- 倒计时1天!MDCC 2016移动开发者大会全日程公布(表)
- 【全开源功放】意法微电子的经典芯片,TDA7294!
- 如何判断网站被黑?网站被黑如何应对?如何防止网站被黑?
- Modeling Conversation Structure and Temporal Dynamics for Jointly Predicting Rumor Stance and Veraci
- PHP代码审计系统—RIPS
热门文章
- mac使用被动ftp模式(pasv)_flashfxp连接失败,flashfxp连接失败的原因及好用的ftp工具下载...
- GPS卫星星历与卫星历书的区别
- Linux不能识别usbasp,USBasp制作资料及全过程(菜鸟版)
- 微型计算机原理与接口技术
- C++沉思录中文版pdf
- 谷歌浏览器翻译栏_将Google翻译栏添加到您喜欢的浏览器
- linux抓包工具分析工具下载,Linux下抓包工具tcpdump以及分析包的工具wireshark
- 使用Foxit Reader实现批量打印以及一页多版设置技巧
- 笔记本系统恢复连载之九:神舟笔记本系统恢复
- Oracle(7)——Oracle修改国家字符集