Dependency Scanning

原文:https://docs.gitlab.com/ee/user/application_security/dependency_scanning/

Dependency Scanning

Introduced in GitLab Ultimate 10.7.

在开发和测试应用程序时,例如当应用程序使用已知的易受攻击的外部(开源)库时,”依赖关系扫描”有助于自动在依赖项中查找安全漏洞.

Overview

如果您使用的是GitLab CI / CD ,则可以使用”依赖关系扫描”来分析依赖关系中的已知漏洞. 扫描所有依赖项,包括传递性依赖项(也称为嵌套依赖项). 您可以通过在现有.gitlab-ci.yml文件中包括依赖扫描模板 ,或通过隐式使用Auto DevOps提供的自动依赖扫描来利用依赖扫描 .

GitLab 检查”依赖性扫描”报告,比较发现的源分支和目标分支之间的漏洞,并显示有关合并请求的信息.

Dependency Scanning Widget

结果按漏洞的严重性排序:

  1. Critical
  2. High
  3. Medium
  4. Low
  5. Unknown
  6. 其他一切

Requirements

要运行依赖扫描作业,默认情况下,你需要 GitLab 亚军与dockerkubernetes执行. 如果您在 GitLab.com 上使用共享的 Runners,则默认启用该功能.

注意:如果使用自己的 Runners,请确保已安装的 Docker 版本不是 19.03.0 . 有关详细信息 ,请参见故障排除信息 .

从 GitLab 13.0 开始,仅当您已启用 Docker-in-Docker 进行依赖项扫描时,才需要 Docker 特权模式.

Supported languages and package managers

GitLab 依赖于rules来启动相关分析器,具体取决于存储库中检测到的语言. 当前的检测逻辑将最大搜索深度限制为两个级别. 例如,如果存储库包含Gemfileapi/Gemfile文件,则启用gemnasium-dependency_scanning作业,但如果唯一受支持的依赖性文件是api/client/Gemfile .

支持以下语言和依赖项管理器:

语言(程序包管理器) 支援的档案 扫描工具
Java (Gradle, Maven) build.gradle, build.gradle.kts, pom.xml Gemnasium
JavaScript( npmyarn package-lock.json, npm-shrinkwrap.json, yarn.lock Gemnasium, Retire.js
去( Golang go.sum Gemnasium
PHP( 作曲家 composer.lock Gemnasium
Python( setuptoolspipPipenv setup.py, requirements.txt, requirements.pip, requires.txt, Pipfile Gemnasium
红宝石( Bundler Gemfile.lock, gems.locked Gemnasium, bundler-audit
Scala( sbt build.sbt Gemnasium

正在制定支持以下语言,依赖性管理器和依赖性文件的计划. 有关详细信息,请参见每个的问题链接.

语言(程序包管理器) 支援的档案 扫描工具 Issue
Python( 诗歌 poetry.lock Gemnasium GitLab#7006
Python( Pipenv Pipfile.lock Gemnasium GitLab#11756

Contribute your scanner

安全扫描程序集成文档说明了如何将其他安全扫描程序集成到 GitLab 中.

Configuration

To enable Dependency Scanning for GitLab 11.9 and later, you must include the Dependency-Scanning.gitlab-ci.yml template that’s provided as a part of your GitLab installation. For GitLab versions earlier than 11.9, you can copy and use the job as defined that template.

将以下内容添加到您的.gitlab-ci.yml文件中:

  1. include:
  2. - template: Dependency-Scanning.gitlab-ci.yml

随附的模板将在 CI / CD 管道中创建”依赖关系扫描”作业,并扫描项目的源代码以查找可能的漏洞. 结果将保存为” 依赖关系扫描”报告工件 ,您以后可以下载和分析该工件 . 由于实施限制,我们始终采用最新的”依赖关系扫描”工件.

Customizing the Dependency Scanning settings

可以使用.gitlab-ci.ymlvariables参数通过环境变量来更改”依赖项扫描”设置. 例如:

  1. include:
  2. - template: Dependency-Scanning.gitlab-ci.yml
  3. variables:
  4. DS_PYTHON_VERSION: 2

因为模板是管道配置之前评估的,所以最后提到的变量将具有优先权.

Overriding Dependency Scanning jobs

弃用:从 GitLab 13.0 开始,不再支持onlyexcept的使用. 覆盖模板时,必须使用rules .

要覆盖作业定义(例如,更改诸如variablesdependencies类的属性),请声明一个与要覆盖的作业同名的新作业. 将此新作业放置在包含模板之后,并在其下指定其他任何键. 例如,这将禁用DS_REMEDIATEgemnasium分析器:

  1. include:
  2. - template: Dependency-Scanning.gitlab-ci.yml
  3. gemnasium-dependency_scanning:
  4. variables:
  5. DS_REMEDIATE: "false"

Available variables

可以使用环境变量配置依赖性扫描.

Configuring Dependency Scanning

以下变量允许配置全局依赖项扫描设置.

环境变量 Description
SECURE_ANALYZERS_PREFIX 覆盖提供正式默认映像(代理)的 Docker 注册表名称. 阅读有关自定义分析器的更多信息.
DS_DEFAULT_ANALYZERS 覆盖正式默认图像的名称. 阅读有关自定义分析器的更多信息.
DS_DISABLE_DIND 禁用 Docker-in-Docker 并单独运行分析器. 默认情况下,此变量为true .
ADDITIONAL_CA_CERT_BUNDLE 捆绑的 CA 证书可信任.
DS_EXCLUDED_PATHS 根据路径从输出中排除漏洞. 以逗号分隔的模式列表. 模式可以是全局变量,也可以是文件或文件夹路径(例如doc,spec ). 父目录也匹配模式. 默认值: "spec, test, tests, tmp"
SECURE_LOG_LEVEL 默认日志级别为info ,您可以将其设置为以下任意字符串: fatalerrorwarninfodebug .

Configuring Docker-in-Docker orchestrator

以下变量配置 Docker-in-Docker 协调器,因此仅在启用 Docker-in-Docker 模式时才使用.

环境变量 Default Description
DS_ANALYZER_IMAGES 以逗号分隔的自定义图像列表. 官方默认图像仍处于启用状态. 阅读有关自定义分析器的更多信息.
DS_ANALYZER_IMAGE_TAG 覆盖官方默认映像的 Docker 标签. 阅读有关自定义分析器的更多信息.
DS_PULL_ANALYZER_IMAGES 从 Docker 注册表中提取映像(设置为0以禁用).
DS_DOCKER_CLIENT_NEGOTIATION_TIMEOUT 2m Docker 客户端协商的时间限制. 使用 Go 的ParseDuration解析超时. 有效时间单位为nsus (或µs ), mssmh . 例如300ms1.5h2h45m .
DS_PULL_ANALYZER_IMAGE_TIMEOUT 5m 拉取分析仪图像的时间限制. 使用 Go 的ParseDuration解析超时. 有效时间单位为nsus (或µs ), mssmh . 例如300ms1.5h2h45m .
DS_RUN_ANALYZER_TIMEOUT 20m 运行分析仪的时间限制. 使用 Go 的ParseDuration解析超时. 有效时间单位为nsus (或µs ), mssmh . 例如300ms1.5h2h45m .

Configuring specific analyzers used by Dependency Scanning

以下变量用于配置特定的分析器(用于特定的语言/框架).

Environment variable Analyzer Default Description
GEMNASIUM_DB_LOCAL_PATH gemnasium /gemnasium-db 本地 Gemnasium 数据库的路径.
GEMNASIUM_DB_REMOTE_URL gemnasium https://gitlab.com/gitlab-org/security-products/gemnasium-db.git 用于获取 Gemnasium 数据库的存储库 URL.
GEMNASIUM_DB_REF_NAME gemnasium master 远程存储库数据库的分支名称. 需要GEMNASIUM_DB_REMOTE_URL .
DS_REMEDIATE gemnasium "true" 启用对弱势依赖项的自动修复.
PIP_INDEX_URL gemnasium-python https://pypi.org/simple Python 软件包索引的基本 URL.
PIP_EXTRA_INDEX_URL gemnasium-python PIP_INDEX_URL之外, PIP_INDEX_URL使用包索引的其他URL数组. 以逗号分隔.
PIP_REQUIREMENTS_FILE gemnasium-python 要扫描的点子要求文件.
DS_PIP_VERSION gemnasium-python 强制安装特定的 pip 版本(例如: "19.3" ),否则将使用 Docker 映像中安装的 pip. (在 GitLab 12.7 中引入
DS_PIP_DEPENDENCY_PATH gemnasium-python 从中加载 Python pip 依赖项的路径. (在 GitLab 12.2 中引入
DS_PYTHON_VERSION retire.js Python 版本. 如果设置为 2,则将使用 Python 2.7 而非 Python 3.6 安装依赖项. (在 GitLab 12.1 中引入
DS_JAVA_VERSION gemnasium-maven 11 Java 版本. 可用版本: 8111314 . Maven 和 Gradle 将使用此值指定的 Java 版本.
MAVEN_CLI_OPTS gemnasium-maven "-DskipTests --batch-mode" 分析器将传递给maven的命令行参数列表. 请参阅使用私有存储库的示例.
GRADLE_CLI_OPTS gemnasium-maven 分析器将传递给gradle的命令行参数列表.
SBT_CLI_OPTS gemnasium-maven 分析器将传递给sbt的命令行参数列表.
BUNDLER_AUDIT_UPDATE_DISABLED bundler-audit "false" 禁用bundler-audit分析器的自动更新. 如果您在脱机的空白环境中运行”依赖性扫描”,则很有用.
BUNDLER_AUDIT_ADVISORY_DB_URL bundler-audit https://github.com/rubysec/ruby-advisory-db bundler-audit 使用的咨询数据库的 URL.
BUNDLER_AUDIT_ADVISORY_DB_REF_NAME bundler-audit master BUNDLER_AUDIT_ADVISORY_DB_URL指定的咨询数据库的 Git ref.
RETIREJS_JS_ADVISORY_DB retire.js https://raw.githubusercontent.com/RetireJS/retire.js/master/repository/jsrepository.json retire.js JS 漏洞数据文件的路径或 URL. 请注意,如果托管数据文件的 URL 使用自定义 SSL 证书(例如在脱机安装中),则可以在ADDITIONAL_CA_CERT_BUNDLE环境变量中传递证书.
RETIREJS_NODE_ADVISORY_DB retire.js https://raw.githubusercontent.com/RetireJS/retire.js/master/repository/npmrepository.json retire.js节点漏洞数据文件的路径或 URL. 请注意,如果托管数据文件的 URL 使用自定义 SSL 证书(例如在脱机安装中),则可以在ADDITIONAL_CA_CERT_BUNDLE环境变量中传递证书.
RETIREJS_ADVISORY_DB_INSECURE retire.js false 启用使用不安全或自签名 SSL(TLS)证书从主机获取远程 JS 和 Node 漏洞数据文件(由RETIREJS_JS_ADVISORY_DBRETIREJS_NODE_ADVISORY_DB变量定义)的功能.

Using private Maven repos

如果您的私有 Maven 存储库需要登录凭据,则可以使用MAVEN_CLI_OPTS环境变量.

阅读有关如何使用私有 Maven 存储库的更多信息 .

Enabling Docker-in-Docker

在 GitLab Ultimate 12.5 中引入 .

如果需要,可以启用 Docker-in-Docker 来还原 GitLab 13.0 之前存在的 Dependency Scanning 行为. 请按照以下步骤操作:

  1. 特权模式下使用 Docker-in-Docker 配置 GitLab Runner.
  2. Set the DS_DISABLE_DIND variable to false:

    1. include:
    2. - template: Dependency-Scanning.gitlab-ci.yml
    3. variables:
    4. DS_DISABLE_DIND: "false"

这将在您的 CI / CD 管道中创建一个dependency_scanning作业,而不是多个<analyzer-name>-dependency_scanning作业.

Interacting with the vulnerabilities

一旦发现漏洞,便可以与其进行交互. 阅读有关如何与漏洞进行交互的更多信息.

Solutions for vulnerabilities (auto-remediation)

可以通过应用 GitLab 自动生成的解决方案来修复某些漏洞. 阅读有关漏洞解决方案的更多信息.

Security Dashboard

在”安全仪表板”中,您可以概览您的组,项目和管道中的所有安全漏洞. 阅读有关安全仪表板的更多信息 .

Vulnerabilities database update

有关漏洞数据库更新的更多信息,请查看维护表 .

Dependency List

依赖项扫描的另一个好处是能够查看项目的依赖项及其已知漏洞. 阅读有关依赖列表的更多信息.

Reports JSON format

依赖关系扫描工具将发出 JSON 报告文件. 有关更多信息,请参见此报告架构 .

这是一个示例依赖性扫描报告:

  1. { "version": "2.0", "vulnerabilities": [ { "id": "51e83874-0ff6-4677-a4c5-249060554eae", "category": "dependency_scanning", "name": "Regular Expression Denial of Service", "message": "Regular Expression Denial of Service in debug", "description": "The debug module is vulnerable to regular expression denial of service when untrusted user input is passed into the `o` formatter. It takes around 50k characters to block for 2 seconds making this a low severity issue.", "severity": "Unknown", "solution": "Upgrade to latest versions.", "scanner": { "id": "gemnasium", "name": "Gemnasium" }, "location": { "file": "yarn.lock", "dependency": { "package": { "name": "debug" }, "version": "1.0.5" } }, "identifiers": [ { "type": "gemnasium", "name": "Gemnasium-37283ed4-0380-40d7-ada7-2d994afcc62a", "value": "37283ed4-0380-40d7-ada7-2d994afcc62a", "url": "https://deps.sec.gitlab.com/packages/npm/debug/versions/1.0.5/advisories" } ], "links": [ { "url": "https://nodesecurity.io/advisories/534" }, { "url": "https://github.com/visionmedia/debug/issues/501" }, { "url": "https://github.com/visionmedia/debug/pull/504" } ] }, { "id": "5d681b13-e8fa-4668-957e-8d88f932ddc7", "category": "dependency_scanning", "name": "Authentication bypass via incorrect DOM traversal and canonicalization", "message": "Authentication bypass via incorrect DOM traversal and canonicalization in saml2-js", "description": "Some XML DOM traversal and canonicalization APIs may be inconsistent in handling of comments within XML nodes. Incorrect use of these APIs by some SAML libraries results in incorrect parsing of the inner text of XML nodes such that any inner text after the comment is lost prior to cryptographically signing the SAML message. Text after the comment therefore has no impact on the signature on the SAML message.\r\n\r\nA remote attacker can modify SAML content for a SAML service provider without invalidating the cryptographic signature, which may allow attackers to bypass primary authentication for the affected SAML service provider.", "severity": "Unknown", "solution": "Upgrade to fixed version.\r\n", "scanner": { "id": "gemnasium", "name": "Gemnasium" }, "location": { "file": "yarn.lock", "dependency": { "package": { "name": "saml2-js" }, "version": "1.5.0" } }, "identifiers": [ { "type": "gemnasium", "name": "Gemnasium-9952e574-7b5b-46fa-a270-aeb694198a98", "value": "9952e574-7b5b-46fa-a270-aeb694198a98", "url": "https://deps.sec.gitlab.com/packages/npm/saml2-js/versions/1.5.0/advisories" }, { "type": "cve", "name": "CVE-2017-11429", "value": "CVE-2017-11429", "url": "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11429" } ], "links": [ { "url": "https://github.com/Clever/saml2/commit/3546cb61fd541f219abda364c5b919633609ef3d#diff-af730f9f738de1c9ad87596df3f6de84R279" }, { "url": "https://github.com/Clever/saml2/issues/127" }, { "url": "https://www.kb.cert.org/vuls/id/475445" } ] } ], "remediations": [ { "fixes": [ { "id": "5d681b13-e8fa-4668-957e-8d88f932ddc7", } ], "summary": "Upgrade saml2-js", "diff": "ZGlmZiAtLWdpdCBhL...OR0d1ZUc2THh3UT09Cg==" // some content is omitted for brevity } ] }

Versioning and release process

请检查发布过程文档 .

Contributing to the vulnerability database

您可以搜索gemnasium-db项目,以在 Gemnasium 数据库中找到漏洞. 您还可以提交新漏洞 .

Running Dependency Scanning in an offline environment

对于在通过 Internet 限制,限制或间歇性访问外部资源的环境中进行自我管理的 GitLab 实例,需要进行一些调整才能使”依赖关系扫描”作业成功运行. 有关更多信息,请参阅脱机环境 .

Requirements for offline Dependency Scanning

以下是在脱机环境中使用依赖关系扫描的要求:

注意: GitLab Runner 的默认pull policyalways ,这意味着即使本地副本可用,Runner 也会尝试从 GitLab 容器注册表中拉取 Docker 映像. 如果您只喜欢使用本地可用的 Docker 映像,则可以在离线环境pull_policy GitLab Runner 的pull_policy设置为if-not-present . 但是,如果不在离线环境中,我们建议将拉取策略设置保持为always ,因为这样可以在 CI / CD 管道中使用更新的扫描仪.

Make GitLab Dependency Scanning analyzer images available inside your Docker registry

对于具有所有受支持的语言和框架的依赖关系扫描,请将以下默认的依赖关系扫描分析器映像从registry.gitlab.com导入本地 Docker 容器注册表

  1. registry.gitlab.com/gitlab-org/security-products/analyzers/gemnasium:2
  2. registry.gitlab.com/gitlab-org/security-products/analyzers/gemnasium-maven:2
  3. registry.gitlab.com/gitlab-org/security-products/analyzers/gemnasium-python:2
  4. registry.gitlab.com/gitlab-org/security-products/analyzers/retire.js:2
  5. registry.gitlab.com/gitlab-org/security-products/analyzers/bundler-audit:2

将 Docker 映像导入本地脱机 Docker 注册表的过程取决于您的网络安全策略 . 请咨询您的 IT 员工,以找到可以导入或临时访问外部资源的已接受和批准的流程. 请注意,这些扫描程序会定期使用新定义进行更新 ,因此请考虑是否可以自己进行定期更新.

有关将 Docker 映像保存和传输为文件的详细信息,请参阅 Docker 有关docker savedocker loaddocker exportdocker import的文档.

Set Dependency Scanning CI job variables to use local Dependency Scanning analyzers

将以下配置添加到您的.gitlab-ci.yml文件. 您必须替换SECURE_ANALYZERS_PREFIX才能引用本地 Docker 容器注册表:

  1. include:
  2. - template: Dependency-Scanning.gitlab-ci.yml
  3. variables:
  4. SECURE_ANALYZERS_PREFIX: "docker-registry.example.com/analyzers"
  5. GEMNASIUM_DB_REMOTE_URL: "gitlab.example.com/gemnasium-db.git"
  6. GIT_SSL_NO_VERIFY: "true"

请参阅配置部分中以上变量的说明.

Specific settings for languages and package managers

请参阅以下各节,以配置特定的语言和程序包管理器.

JavaScript (npm and yarn) projects

将以下内容添加到.gitlab-ci.yml的变量部分:

  1. RETIREJS_JS_ADVISORY_DB: "example.com/jsrepository.json"
  2. RETIREJS_NODE_ADVISORY_DB: "example.com/npmrepository.json"

Ruby (gem) projects

将以下内容添加到.gitlab-ci.yml的变量部分:

  1. BUNDLER_AUDIT_ADVISORY_DB_REF_NAME: "master"
  2. BUNDLER_AUDIT_ADVISORY_DB_URL: "gitlab.example.com/ruby-advisory-db.git"

Python (setuptools)

当为私有 PyPi 存储库使用自签名证书时,不需要额外的作业配置(除了上面的模板.gitlab-ci.yml ). 但是,您必须更新setup.py以确保它可以到达您的私有存储库. 这是一个示例配置:

  1. 更新setup.py ,以为install_requires列表中的每个依赖项创建一个指向您的私有存储库的dependency_links属性:

    1. install_requires=['pyparsing>=2.0.3'],
    2. dependency_links=['https://pypi.example.com/simple/pyparsing'],
  2. 从存储库 URL 中获取证书并将其添加到项目中:

    1. echo -n | openssl s_client -connect pypi.example.com:443 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > internal.crt
  3. setup.py指向新下载的证书:

    1. import setuptools.ssl_support
    2. setuptools.ssl_support.cert_paths = ['internal.crt']

Limitations

Referencing local dependencies using a path in JavaScript projects

Retire.js分析器不支持使用 JavaScript 项目的package.json本地路径进行的依赖项引用. 依赖项扫描针对此类引用输出以下错误:

  1. ERROR: Could not find dependencies: <dependency-name>. You may need to run npm install

解决方法是,从DS_DEFAULT_ANALYZERS删除retire.js分析器.

Troubleshooting

Error response from daemon: error processing tar file: docker-tar: relocation error

当运行 Dependency Scanning 作业的 Docker 版本为19.03.00时,会发生此错误. 考虑更新到 Docker 19.03.1或更高版本. 旧版本不受影响. 阅读本期的更多内容.