自动依赖扫描-demo

来源：互联网发布：英语教练淘宝没了编辑：程序博客网时间：2024/05/21 19:34

1、 研究背景

如今应用程序依赖的第三方库和框架数量越来越多，也越来越复杂，比如SSL、Spring、Rails、.Net等等，此外还有各种第三方认证系统等，我们暂且统一把它们称之为第三方依赖。通常情况下，在开发应用程序的时候会提前选定好某个第三方依赖的版本，并且在较长一段时间内都不会主动去更新，原因是更新的成本一般都比较高，比如新库和新框架更改了API的使用方法和使用流程，可能导致系统进行大规模重构。但是往往这些依赖为了添加新的功能和修复各种当前的问题——包括安全问题，却会经常发布新版本。这些依赖库和框架的安全问题只要被发现，通常都会被公布到互联网上，比如NVD、乌云等漏洞平台，而此时官方修复补丁很可能还没有发布，因此存在一个相当危险的真空期，导致很多人都可以利用这些漏洞去攻击使用这些依赖的应用程序。

对应用程序使用到的这些第三方依赖进行管理是很有必要的，但是挑战在于，这些依赖的数量是如此的庞大，而且每天都会有各种各样的关于依赖的安全漏洞被公布到网上，人工手动管理的难度相当大，此时就需要借助自动化来完成这一任务了。自动化依赖扫描就是通过扫描当前应用使用到的所有依赖（包括间接依赖）及其版本，并和网上公布的安全漏洞进行匹配，如果当前某个依赖存在某种危险级别（需要自己定义）的漏洞，就立即发出警告（比如阻止CI构建成功等）来通知开发人员或者系统管理员，从而在最短的时间内启动应对措施，达到防止攻击，避免或者减少损失的目的。

2、 研究步骤

从研究背景（债务来源）的分析可以得出自动依赖扫描需要完成以下几个步骤：

（1）自动发现应用程序的第三方依赖；

（2）从漏洞平台中将第三方依赖的安全漏洞爬下来；

（3）对比：漏洞平台发布的有漏洞的第三方依赖与应用程序的第三方依赖对比，如果匹配上则应用程序的第三方依赖是不安全的（匹配规则需自定义）；

（4）若发现应用程序的第三方依赖不安全，则预警（发送邮件给相关责任人）。

3、 研究过程

首先我们需要自动发现应用程序的第三方依赖，小编经过调研，发现JarAnalyzer可以满足我们的需求，JarAnalyzer是一个用于.jar文件的依赖管理工具，JarAnalyzer能够在一个给定的目录中分析所有jar文件并标识它们之间的依赖关系，输出格式包括xml或者txt（文件格式可以指定）。