目录

测试 Demo Repo

用 Dependency Scanning 检测 log4j 漏洞

用容器镜像扫描检测 log4j 漏洞

将漏洞检测与 git workflow 相结合

极狐GitLab 是一个一体化的 DevOps 平台,本身拥有强大的 DevSecOps 功能,能够提供覆盖软件开发生命周期的安全保障能力,具有使用方便,配置简单,结果可视的特点,而且能够和极狐GitLab 自身的 CI/CD 无缝集成,构建 DevSecOps CI/CD Pipeline,再与极狐GitLab 的 git workfow 结合,真正构建起软件安全交付的 DevSecOps 流程。下面结合近期比较火热的 log4j 漏洞,来演示一下如何用多种手段检测此次漏洞,并快速修复。

测试 Demo Repo

用一个输出 Hello World 的 Java maven 项目来做测试。代码目录结构如下:

$ tree
.
├── pom.xml
├── README.md
└── src
    └── main
        └── java
            └── com
                └── example
                    └── hello
                        └── Hello.java

pom.xml 文件中,关于 log4j 2 的依赖描述如下:

<dependencies>
    <dependency>
        <groupId>org.apache.logging.log4j</groupId>
        <artifactId>log4j-api</artifactId>
        <version>2.11.0</version>
        </dependency>
    <dependency>
        <groupId>org.apache.logging.log4j</groupId>
        <artifactId>log4j-core</artifactId>
        <version>2.11.0</version>
    </dependency>
</dependencies>

Hello.java 的内容如下:

package com.example.hello;

import org.apache.logging.log4j.Logger;
import org.apache.logging.log4j.LogManager;

public class Hello {

	private static Logger log = LogManager.getLogger(Hello.class.getClass());

	public static void main(String [] args) {
		log.error("this is ERROR message!!");
		log.info("this is INFO message!!");
		log.debug("this is DEBUG message!!");
	}

}

用 Dependency Scanning 检测 log4j 漏洞

极狐GiLab 的Dependency Scanning使用 Gemnasium,能够对多种语言(Ruby、PHP、Java、Go、C#等)进行依赖扫描。

极狐GitLab Dependency Scanning 功能检测 Apache Log4j 2 漏洞的 Demo Repo 为例子,演示与 CI/CD 的无缝集成。

在 Demo Repo 的 .gitlab-ci.yml 文件中写入如下内容

include:
- template: Security/Dependency-Scanning.gitlab-ci.yml

触发 CI/CD Pipeline,构建完成后在 Security & Compliance –> Vulnerability Report 中可以查看到漏洞报告,如下图所示:

 

点击可以查看漏洞详情,如下图所示:

用容器镜像扫描检测 log4j 漏洞

容器镜像扫描(Container Scanning)也是极狐GitLab 七大 DevSecOps 功能的重要组成部分。下面演示如何用极狐GitLab 容器镜像扫描功能检测 log4j 漏洞。依旧使用同样的 Demo Repo,在 .gitab-ci.yml 中写入如下内容:

include:
    - template: Security/Container-Scanning.gitlab-ci.yml

variables:
    CS_DISABLE_LANGUAGE_VULNERABILITY_SCAN: "false"

触发 CI/CD Pipeline,构建结束,就可以在构建日志中看到检测结果,如下图所示:

 当然,在 Security Dashboard 的漏洞报告中也可以看到:

将漏洞检测与 git workflow 相结合

可以通过Security & Compliance –> Configuration来设置,在创建 MR 的时候就进行漏洞扫描。如果是免费用户,可以在同样的界面上申请免费试用安全功能:

 在开启安全功能后,创建 MR,扫描结束会在 MR 界面显示扫描出的漏洞,如下图所示:

点击漏洞详情,还可以通过创建 issue 的方式来对此漏洞进行跟踪:

相关人员可以根据漏洞提供的修复手段来进行修复(如将 log4j 的版本升级到 2.16.0),提交修复代码后,检测流程会再度开启:

可以看到在漏洞报告中已经没有了与 log4j 的高危漏洞(ID 为 CVE-2021-44228)。

其他的漏洞来自于容器镜像检测,因为容器镜像检测会将 OS 包含在内。从这点看,目前主流镜像都存在安全漏洞,使用的时候一定要配合安全扫描,并且集成到 CI/CD 中。

极狐GitLab DevSecOps 能够在软件开发生命周期的各个阶段提供安全保证能力,从静态到动态,利用 CI/CD,git workflow 来提供一站式的安全能力,提升研发效率,保证安全交付。当然,免费也用户可以申请免费试用旗舰版功能来开启你的 DevSecOps 之旅。 

# devops # 安全 # ci
Logo
CSDN学习社区

CSDN联合极客时间,共同打造面向开发者的精品内容学习社区,助力成长!

更多推荐

嵌入式作业(七):基于Ardunio的STM32串口通信

嵌入式作业(七)0作业要求1Ardunio 完成STM32的串口通信(1)安装Ardunio IDE(2)stm32串口通信2关于 stduino IDE0作业要求安装 Ardunio IDE 和相关软件支持库,在Ardunio 完成STM32板子的串口通信程序:(1)持续向串口输出“Hello world!”;(2)当接收到“stop!”时,停止输出。网上有一个国人版的MCU集成开发平台, st

avatar CSDN学习社区

JDBC详解

JDBC文章目录JDBC什么是JDBC?JDBC驱动程序:Java使用JDBC访问数据库的步骤:设置classpath:Oracle连接字符串的书写格式:简单的例子:常用数据库的驱动程序及JDBC URL:Oracle数据库:SQL Server数据库MySQL数据库Access数据库PreparedStatement接口:JNDI-数据源(Data Source)与连接池(Connection

avatar CSDN学习社区

“模式识别与机器学习”学习笔记no2.再谈感知机

接**上篇:上篇主要进行了PLA,Pocket算法的理论过程分析和在给定数据集上利用pocket算法对数据集进行分类学习,得到错分数量最少的分类面。上篇中pocket算法的过程已经进行了编程和测试,框架已经建立了起来,这一篇主要上篇中没有提到或涉及不深的几个问题。1.数据集的构造。上篇是直接使用了题目给的向量,这次来根据正态分布来产生数据集。np.random.normal函数可以根据均值和方差生

avatar CSDN学习社区