是时候打造C/C++可信构建了- 供应链安全

10月 12, 2021阅读2027

引言:

  Xray是一个DevSecOps工具,可以与Artifactory一起检查应用程序依赖关系之间的潜在安全问题。它连接到私人和公共漏洞数据提供商,包括NVD和VulnDB数据库。它支持多种包类型和不同的技术(比如Docker映像、npm或PyPI),从3.21.2版本开始,它还支持Conan包。PS: Conan 是一个专为C/C++ 项目打造的依赖管理工具   在这篇文章中,我们会介绍如何使用Xray和Artifactory使您的C/ C++ 安全的构建。如需测获取更多信息请联系我们,info@jfrogchina.com  

设置Artifactory: 创建Conan 私服仓库

登录到Artifactory实例之后,第一件事是在Artifactory中创建一个新的Conan存储库。在本文中,我们创建了一个名为test-repo的本地存储库。一旦配置了新的存储库,我们将使用Conan remote add和Conan user命令将其添加到Conan本地客户端  

设置Xray: 添加管控策略、规则以及监听器

要开始使用JFrog Xray,首先要定义的是策略。策略只是一组规则,每个规则都定义了一个安全/许可标准,当满足该规则标准时,将触发相应的操作集。我们可以直接进入Administration > Xray > Watches & Policies创建一个新策略。         我们将创建一个名为mycompany-policy的安全策略,并向其添加一条规则。单击“新建规则”,将规则名称设置为low-severity-warning。该规则将匹配最低严重程度漏洞(严重程度评分低于4.0/10.0)。您可以根据预定义的范围(低、中、高或严重)设置严重性警告,或设置自定义CVSS评分范围。当满足规则条件时,可以触发多个操作。我们将为该规则添加Notify Email操作,并检查当上传具有已知安全问题的包时发生了什么。     下一件事就是加一个监听器。监视将资源(如存储库或构建)与策略连接起来。我们将创建一个名为test-watch的监视,它将添加我们的test-repo作为资源(您也可以使用存储库包含模式或将所有存储库添加到监视中)。然后单击Manage Policies将mycompany-policy策略连接到test-repo资源。      

使用Conan客户端进行测试

  现在我们已经添加了策略并使用一个监听器将我们创建的Conan存储库连接到该策略,现在可以使用Conan客户端对其进行测试了。我们上传一个受某个漏洞影响的Conan包到test-repo存储库,我们应该收到一封关于该漏洞的警告邮件。例如,让我们尝试使用应该受到CVE-2020-1971(https://nvd.nist.gov/vuln/detail/CVE-2020-1971)影响的包:openssl/1.1.1 1h。   $ conan install openssl/1.1.1h@ -r conancenter $ conan upload openssl/1.1.1h@ --all -c -r test-repo 就在这个包被上传之后,您应该收到一封关于策略违规的电子邮件警告,如下图:       单击链接将带您到您的Artifactory实例。选择Xray数据选项卡将显示软件包中存在的所有漏洞的详细信息。       上述引入漏洞包过程中实时发出警告是非常有帮助的, 安全人员可以实时管控漏洞包的引入,并且安全人员可以设置策略来限制任何人下载这些漏洞包。我们将修改之前添加的规则,并检查Block Download选项。如果我们试图安装任何受安全问题影响的二进制文件,Xray应该会阻止下载。     $ conan remove openssl/1.1.1h@ -f # to force downloading from the server $ conan install openssl/1.1.1h@ -r test-repo Configuration: [settings] arch=x86_64 arch_build=x86_64 build_type=Release compiler=apple-clang compiler.libcxx=libc++ compiler.version=12.0 os=Macos os_build=Macos [options] [build_requires] [env]   openssl/1.1.1h: Retrieving from server 'test-repo' openssl/1.1.1h: Trying with 'test-repo'... ERROR: Permission denied for user: 'test-user@jfrog.com'. [Remote: test-repo] 我们仅展示了一个简单的示例,说明如何使用Conan、Artifactory和Xray使C/ C++ 项目构建更加安全。您还可以尝试使用其他选项,如使用conan_build_info v2(conan 客户端命令)来扫描监听某一个构建所依赖的所有包,按照项目级对引入组件进行安全扫描。此外,你可以尝试在规则中设置一个webhook来进行更复杂的操作,比如自动创建JIRA issue等。  

总结

使用JFrog Xray和Artifactory使您的C/ C++构建更安全只是几分钟的问题。您可以配置符合公司安全策略的规则,并使用webhooks等特性触发复杂操作。 推进落地DevSecOps 实践,保护软件开发生命周期SDLC。