Xray是一个DevSecOps工具,可以与Artifactory一起检查应用程序依赖关系之间的潜在安全问题。它连接到私人和公共漏洞数据提供商,包括NVD和VulnDB数据库。它支持多种包类型和不同的技术(比如Docker映像、npm或PyPI),从3.21.2版本开始,它还支持Conan包。PS:Conan 是一个专为C/C++ 项目打造的依赖管理工具
在这篇文章中,我们会介绍如何使用Xray和Artifactory使您的C/ C++ 安全的构建。
如需获取更多信息请联系我们,[email protected]
设置Artifactory: 创建Conan 私服仓库
登录到Artifactory实例之后,第一件事是在Artifactory中创建一个新的Conan存储库。在本文中,我们创建了一个名为test-repo的本地存储库。一旦配置了新的存储库,我们将使用Conan remote add和Conan user命令将其添加到Conan本地客户端。
设置Xray: 添加管控策略、规则以及监听器
要开始使用JFrog Xray,首先要定义的是策略。策略只是一组规则,每个规则都定义了一个安全/许可标准,当满足该规则标准时,将触发相应的操作集。我们可以直接进入Administration > Xray > Watches & Policies创建一个新策略。
我们将创建一个名为mycompany-policy的安全策略,并向其添加一条规则。单击“新建规则”,将规则名称设置为low-severity-warning。该规则将匹配最低严重程度漏洞(严重程度评分低于4.0/10.0)。您可以根据预定义的范围(低、中、高或严重)设置严重性警告,或设置自定义CVSS评分范围。当满足规则条件时,可以触发多个操作。我们将为该规则添加Notify Email操作,并检查当上传具有已知安全问题的包时发生了什么。
下一件事就是加一个监听器。监视将资源(如存储库或构建)与策略连接起来。我们将创建一个名为test-watch的监视,它将添加我们的test-repo作为资源(您也可以使用存储库包含模式或将所有存储库添加到监视中)。然后单击Manage Policies将mycompany-policy策略连接到test-repo资源。
使用Conan客户端进行测试
现在我们已经添加了策略并使用一个监听器将我们创建的Conan存储库连接到该策略,现在可以使用Conan客户端对其进行测试了。我们上传一个受某个漏洞影响的Conan包到test-repo存储库,我们应该收到一封关于该漏洞的警告邮件。例如,让我们尝试使用应该受到CVE-2020-1971(https://nvd.nist.gov/vuln/detail/CVE-2020-1971)影响的包:openssl/1.1.1 1h。
$ conan install openssl/1.1.1h@ -r conancenter
$ conan upload openssl/1.1.1h@ --all -c -r test-repo
就在这个包被上传之后,您应该收到一封关于策略违规的电子邮件警告,如下图:
单击链接将带您到您的Artifactory实例。选择Xray数据选项卡将显示软件包中存在的所有漏洞的详细信息。
上述引入漏洞包过程中实时发出警告是非常有帮助的, 安全人员可以实时管控漏洞包的引入,并且安全人员可以设置策略来限制任何人下载这些漏洞包。我们将修改之前添加的规则,并检查Block Download选项。如果我们试图安装任何受安全问题影响的二进制文件,Xray应该会阻止下载。
$ conan remove openssl/1.1.1h@ -f # to force downloading from the server
$ conan install openssl/1.1.1h@ -r test-repo
Configuration:
[settings]
arch=x86_64
arch_build=x86_64
build_type=Release
compiler=apple-clang
compiler.libcxx=libc++
compiler.version=12.0
os=Macos
os_build=Macos
[options]
[build_requires]
[env]
openssl/1.1.1h: Retrieving from server 'test-repo'
openssl/1.1.1h: Trying with 'test-repo'...
ERROR: Permission denied for user: '[email protected]'. [Remote: test-repo]
我们仅展示了一个简单的示例,说明如何使用Conan、Artifactory和Xray使C/ C++ 项目构建更加安全。您还可以尝试使用其他选项,如使用conan_build_info v2(conan 客户端命令)来扫描监听某一个构建所依赖的所有包,按照项目级对引入组件进行安全扫描。此外,你可以尝试在规则中设置一个webhook来进行更复杂的操作,比如自动创建JIRA issue等。
总结
使用JFrog Xray和Artifactory帮助您的C/ C++构建更安全只是几分钟的问题。您可以配置符合公司安全策略的规则,并使用webhooks等特性触发复杂操作。 推进落地DevSecOps 实践,保护软件开发生命周期SDLC。