ToB企服应用市场:ToB评测及商务社交产业平台

标题: 甲方安全建设之研发安全-SCA [打印本页]

---

作者: 傲渊山岳    时间: 2024-5-16 17:25
标题: 甲方安全建设之研发安全-SCA
前言

大多数企业或多或少的会去采购第三方软件，或者研发同学在开发代码时，可能会去使用一些好用的软件包或者依赖包，但是假如这些包中存在恶意代码，又或者在安装包时不小心打错了字母安装了错误的软件包，则可能出现供应链攻击。因此去识别采购或者自研项目中的软件包，来保证其版本充足新、不存在恶意代码是办理供应链的一项紧张措施，而SCA（软件身分分析）可以资助完成这一动作。
OpenSCA-cli

下载地址：https://github.com/XmirrorSecurity/OpenSCA-cli 使用方法：起首使用了Docker的方式，快速扫描当地：docker run -ti --rm -v ${PWD}:/src opensca/opensca-cli笔者选择了一个自身的python项目，没发现风险：

[img=720,432.22052067381316]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404071411649.png[/img]

不知道是不是Docker中没漏洞数据库还是Docker中的自带的漏洞数据库太少导致。再次尝试使用Docker连接其SAAS云端的方式进行扫描，发现可能是Docker内应用程序问题，导致TLS验证失败：

1. Get "https://opensca.xmirror.cn/oss-saas/api-v1/open-sca-client/aes-key?clientId=SxxxZVL&ossToken=xx-xx-xx-xx-xx": tls: failed to verify certificate: x509: certificate signed by unknown autho

复制代码

反正核心都是使用opensca-cli ，因此直接使用Github下载的二进制文件进行了当地扫描：

1. -token xe43dxxf55-xx-xx-xx-xxx -proj "" -path ${待检测目标路径}

复制代码

云端还是能扫出不少东西的：

[img=720,286.89462665736215]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404071411651.png[/img]

DependencyTrack

下载地址：https://github.com/DependencyTrack/dependency-track参考官方文档：https://docs.dependencytrack.org/getting-started/deploy-docker/这里使用Docker启动，且先不使用数据库：

1. curl -LO https://dependencytrack.org/docker-compose.yml
2. ​
3. docker-compose up -d

复制代码

根据docker-compose.yml内容，frontend前端端口是8080，访问8080，使用admin/admin登录：

[img=720,283.9562672084258]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404071411652.png[/img]

【----资助网安学习，以下所有学习资料免费领！加vx：dctintin，备注 “博客园” 获取！】
　① 网安学习成长路径思维导图
　② 60+网安经典常用工具包
　③ 100+SRC漏洞分析报告
　④ 150+网安攻防实战技术电子书
　⑤ 最权威CISSP 认证考试指南+题库
　⑥ 超1800页CTF实战技巧手册
　⑦ 最新网安大厂口试题合集（含答案）
　⑧ APP客户端安全检测指南（安卓+IOS）
这里依然以python项目为例，使用python-sbom生成工具生成sbom：https://github.com/CycloneDX/cyclonedx-python

1. python -m pip install cyclonedx-bom
2. ​
3. python3 -m cyclonedx_py -h
4. ​
5. python3 -m cyclonedx_py  requirements -o out.json

复制代码

然后到Projects->Create project->Components->Upload BOM上传生成的BOM即可。

[img=720,438.75]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404071411654.png[/img]

发现一个问题，就以python为例，DependencyTrack解析的是requirements等方式来获取的软件清单，相比于OpenSCA-cli少了很多，比如hostScan项目中的requirements.txt文件里面的包就是17个，DependencyTrack识别到的就是17个：

而OpenSCA-cli会发现一些依赖的包：

[img=720,351.6279069767442]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202404071411656.png[/img]

更多网安技能的在线实操练习，请点击这里>>
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4