node依赖安全扫描工具

企业级node安全保障

第三方依赖的安全隐患

安全现状

  • 去年11月, snyk公司发布《2017开源软件安全报告》, 其中扫描了43万个站点, 发现77%的站点包含到至少1个以上已知漏洞.
  • OWASP把”Using Components with Known Vulnerabilities”列为十大安全威胁之一.

为什么需要漏洞扫描工具

几乎每个项目都会引用许多第三广告的包, 有人统计一个项目大约80%的代码来自于第三方依赖, 自己写的代码不足20%. 我们用尽全力保证我们20%的代码质量, 却很可能不知不觉间被80%的第三方代码中的漏洞坑害. 同时npm仓库里的包质量良莠不齐, 如果你有在npm官方仓库中提交过自己的作品,你会发现npm不会做任何质量检查, 只要你的包名没有重复, 你就可以提交, npm包虽然众多,但质量参差不齐, 甚至还有一些钓鱼的包. 我们不可能手动检查所有依赖包的安全漏洞,必须借助一些自动化工具.

自动化工具

目前已知的这类自动化工具主要有:nsp (node security platform), npm audit fix, snyk, retire, greenkeeper, OWASP Dependency Check.本文主要介绍nsp及npm收购后做的整合, 和一个商用扫描工具snyk. 并对它们做一个简单的对比. 最后简单介绍了一下retire, greenkeeper, OWASP Dependency Check.


nsp

nsp是一个叫^Lift公司的产品.安装和使用方法都很简单.

安装: :B_exampleblock:

1  npm i -g nsp

使用方法:

1  nsp check

上图是nsp check当前项目时报告的结果, 该项目的第三方依赖含有2个已知漏洞, 下面的表格详细描述了其中一个漏洞的详情.下文中我们会详细说明类似表格的意思.
除了默认table方式输出的漏洞详情之外, 还有summary, json, codeClimate, minimal等方式输出结果. 还有官方也提供了方法编写自定义reporter来输出.

nsp check --reporter [table|summary|json|codeClimate|minimal|自定义reporter]


nsp filter

nsp 还提供了filer功能, 能根据漏洞的CVSS分数做filter.如只关注分数高于4的漏洞.

CVSS: (Common Vulnerability Scoring System, 通用安全漏洞评分系统)是一个标准的漏洞评分系统. 分数0-10之间, 从各种维度给某个漏洞打分, 然后加权计算漏洞的分数.

nsp check --filter 4 
/* hide all CVSS score is below 4 */

nsp check --threshold 4 
/* 至少有一个漏洞CVSS高于4, 才会返回错误 */

收购

今年4月, npm收购nsp, 使之成为npm的官方支持平台. 同时今年9月底旧的nsp也会彻底关闭, nsp也将会成为历史.

npm

[email protected]新特性

  • npm从6.0开始会基于nsp数据库自动检查安装请求,如果代码包含安全漏洞的话,将会返回警告。
  • 可以用npm set audit true/false 来打开/关闭开关.
  • 也可以用命令行参数npm install –no-audit来指定本次安装不进行扫瞄.
  • 同时提供了新命令”npm aduit [fix]”来扫描和修复已知漏洞
    如安装shelljs成功之后会自动报告漏洞怀

npm audit [–json | –parseable]

Severity有四个等级: critical(立即处理), High(尽快处理), Moderate(有时间就处理), Low(自行决定要不要处理)
Description: 描述
Package: 哪个包有问题
Dependency of: 你的项目中哪个包依赖了这个有问题的包
Path: 项目中的这个包到有问题的包之间的依赖路径
More info: 查看这个问题的更多详细信息, 链到nsp的具体advisory中去.

除了table之外, npm audit还可以输出json和纯文本

–json(输出成json)

clin@CNclin:~/Documents/javascript/date-input$ npm audit --json
{
  "actions": [{
      "action": "update",
      "module": "fsevents",
      "depth": 3,
      "target": "1.2.4",
      "resolves": [{
          "id": 534,
          "path": "babel-cli>chokidar>fsevents>node-pre-gyp>tar-pack>debug",
          "dev": false,
          "optional": true,
          "bundled": true
        }],
    }],
}

–parseable(输出成纯文本)

clin@CNclin:~/Documents/javascript/date-input$ npm audit --parseable
update  debug   low npm update fsevents --depth 3   Regular 
Expression Denial of Service    https://nodesecurity.io/advisories/534  
babel-cli>chokidar>fsevents>node-pre-gyp>tar-pack>debug N

npm audit fix [–force]

  • 扫描并会自动更新到semver兼容的版本来消除漏洞.
  • –force 强制更新到安全版本, 即使semantic versioning不兼容也会更新.
  • 不一定能帮你修复所有的漏洞

如下图扫描出了13个漏洞, audit fix 可以修复其中3个, audit fix –force可以修复其中7个, 还有3个没有可修复版本, 无法自动修复.

snyk

snyk是一款商业漏洞扫描工具. 仅对开源项目免费, 闭源项目受限次数的扫描(每月200次). 相比于官方的npm audit, 有以下优势:

更多的支持的语言

更好的整合

更大的漏洞库 (2018/08/11号的数据)

  • snyk vulnerability DB: 1142个
  • npm/nsp vulnerability DB: 612个

实验结果 (2018/08/11号的数据)

我从github上找了20个常用的包,分别用npm和snyk扫描,结果如下:

其它工具

retire

一个开源的依赖监测工具,提供命令行和Grunt, Firfox, Chrome等插件。从NIST NVD,漏洞追踪系统,博客和邮件列表等收集漏洞数据。

greenkeeper

并没有漏洞扫描功能,只是会自动帮你把所有的依赖升级到最新版, 有可能最新版本包含更多的漏洞.

OWASP dependency check

OWASP开发的依赖扫描工具,除了node,还支持Ruby,Python, C/C++.

总结

总结

  • 仅扫描 已知依赖包 里的漏洞
  • yarn audit 目前还在讨论, 还没有实现
  • 安全没有一个终点,一直是一个过程

我们可以贡献什么?

1)提issue: 给有漏洞的包作者提issue, 等其修复.
2)提PR: 修复漏洞, 给作者提PR.
3)报告漏洞: 发邮件给 [email protected][email protected]报告漏洞. 也可以在线提交一个表单(https://nodesecurity.io/report)

参考文献

  • Using Snyk, NSP and Retire.JS to Identify and Fix Vulnerable Dependencies in your Node.js Applications
  • snyk文档
  • The State of Open Source Security
  • OWASP
  • npm audit documentation
  • nodejs-security-scanner

你可能感兴趣的:(node依赖安全扫描工具)