只做英文网站 域名有什么要求,语言 wordpress,网站在线生成app,小米路由hd 做网站idea创建maven程序本文将讨论如何使用Maven程序集创建可提供给第三方漏洞评估站点#xff08;例如Veracode #xff09;进行审查的工件。 错误的静态分析与漏洞评估 在这一点上#xff0c;每个人都知道findbug并认真使用它#xff0c;对吗#xff1f; 对#xff1f; F… idea创建maven程序 本文将讨论如何使用Maven程序集创建可提供给第三方漏洞评估站点例如Veracode 进行审查的工件。 错误的静态分析与漏洞评估 在这一点上每个人都知道findbug并认真使用它对吗 对 Findbugs使用静态分析来查找错误。 更准确地说它使用静态分析来查找可以通过静态分析发现的错误。 例如我看到了一种常见的模式 public void foo(Object obj) {if (obj ! null) {obj.doSomething();}// lots of obscuring codeobj.doSomethingElse()
} 我们应该第二次检查null吗 我们需要第一次检查吗 我们应该从“ if”子句中返回吗 为什么我们还需要漏洞评估 什么是漏洞评估 它与错误有何不同 关键概念是易受攻击的代码表面上没有错误但是仍然容易受到滥用以攻击该网站或其用户。 易受攻击的代码的一个示例是使用未经消毒的用户提供的值。 从事前端工作的任何人都应该了解净化这些价值的重要性。 但是当用户提供的数据从前端传递出去时例如将其写入数据库时会发生什么 每个从数据库中提取数据的人都知道它可能包含未经消毒的用户提供的数据吗 如何通过SQL注入将恶意数据放入数据库 用于漏洞评估的静态分析与静态分析很像可以发现漏洞而且要经过很多检查。 而findbug可能需要5分钟才能运行Veracode可能需要几个小时 动态分析使这一步骤更进一步并针对实时系统运行了测试。您可以使用集成测试来进行简化版。 漏洞评估工件 我们需要提供什么来进行漏洞评估 简短的答案是三件事 我们的编译代码例如java或scala 我们的脚本代码例如jsp 递归依赖的每个jar文件 我们不需要提供我们的源代码或资源。 编译后的代码确实需要包括调试系统这样它才能给出有意义的错误消息- 仅知道包含79个类的库中有19个缺陷不是很有帮助 一个好的格式是包含以下内容的压缩包 我们的jar和wars在顶层没有版本号 我们在“ / lib”下的依赖带有版本号 版本号被剥离或保留用于跟踪目的。 我们的代码在多次运行中具有连续性。 我们的依赖关系可以随时更改并且除了版本号中明确指出的内容之外没有任何连续性。 我们的war文件应该从嵌入式jar中删除因为它们将出现在“ lib”目录下。 “较厚”的战争文件只会增加上传的工件的大小。 我们可以使用两个Maven程序集描述符来构建它。 va-war.xml漏洞评估皮包骨头的战争 第一个程序集创建一个精简的.war文件。 我不想称它为一场皮包骨头的战争因为预期的目的有所不同但它们有很多共同点。 assemblyxmlnshttp://maven.apache.org/plugins/maven-assembly-plugin/assembly/1.1.2xmlns:xsihttp://www.w3.org/2001/XMLSchema-instancexsi:schemaLocationhttp://maven.apache.org/plugins/maven/assembly-plugin/assembly/1.1.2http://maven.apache.org/xsd/assembly-1.1.2.xsdidva-war/idformatsformatwar/format/formatsincludeBaseDirectoryfalse/includeBaseDirectoryfileSets!-- grab everything except any jars --fileSetdirectorytarget/${project.artifactId}-${project.version}/directoryoutputDirectory//outputDirectoryincludes /excludesexclude**/*.jar/exclude/excludes/fileSet/fileSets
/assembly 如果您具有敏感信息或大量大型工件则可以排除其他文件 excludesexclude**/*.jar/excludeexclude**/*.jks/excludeexclude**/*.p12/excludeexclude**/*.jpg/excludeexclude**/db.properties/exclude/excludes 但是您需要注意–您需要包含脚本编写的所有内容例如jsp文件或Velocity模板。 va-artifact.xml漏洞评估工件 第二个工件收集所有依赖项并将战争简化为一个压缩包。 我们的jar和wars在tarball的顶层所有依赖项都在“ lib”目录中。 这使得区分工件和依赖关系变得容易。 assemblyxmlnshttp://maven.apache.org/plugins/maven-assembly-plugin/assembly/1.1.2xmlns:xsihttp://www.w3.org/2001/XMLSchema-instancexsi:schemaLocationhttp://maven.apache.org/plugins/maven/assembly-plugin/assembly/1.1.2http://maven.apache.org/xsd/assembly-1.1.2.xsdidva-artifact/idformatsformattar.gz/format/formatsincludeBaseDirectoryfalse/includeBaseDirectorydependencySets!-- ******************************************* --!-- Our code should not include version numbers --!-- ******************************************* --dependencySetincludesinclude${project.groupId}:*:jar/includeinclude${project.groupId}:*:va-war/include!-- we could also include subprojects --include${project.groupId}.**:*:jar/include/includes!-- we might have sensitive resources --excludesexclude${project.groupId}:*-properties/excludeexcludesoutputFileNameMapping${artifact.artifactId}${dashClassifier?}.${artifact.extension}/outputFileNameMapping/dependencySet!-- *********************************************** --!-- Our dependencies should include version numbers --!-- *********************************************** --dependencySetoutputDirectorylib/outputDirectoryincludes /excludesexclude${project.groupId}:*/excludeexclude*.pom/exclude!-- exclude standard APIs --excludejavax.*:*/excludeexcludedom4j:*/excludeexcludejaxen:*/excludeexcludejdom:*/excludeexcludexml-apis:*/exclude/excludes/dependencySet/dependencySets
/assembly构建工件 汇编描述符只是故事的一半。 我们仍然需要调用maven程序集我们不想在每个构建中都这样做。 这是配置文件的理想时间–我们仅在指定了特定配置文件时才会构建工件。 pom.xml用于战争模块 对于war模块pom.xml文件的必要附加内容很少。 我们需要调用程序集描述符但是不需要显式添加依赖项。 profilesprofileidvulnerability-assessment/idbuildpluginspluginartifactIdmaven-assembly-plugin/artifactIdconfigurationdescriptorsdescriptorsrc/main/assembly/va-war.xml/descriptor/descriptors/configurationexecutionsexecutionidmake-assembly/idphasepackage/phasegoalsgoalsingle/goal/goals/execution/executions/plugin/plugins/build/profile
/profilespom.xml用于顶级模块 顶级模块的pom.xml文件的必要附加操作更为复杂尤其是在分发程序集是在子模块而不是根模块中创建时。 在这种情况下我们需要显式添加对pom文件和lite war文件的依赖。 如果不指定前者则将丢失大多数依赖项如果不指定后者则将丢失.war文件。 profilesprofileidvulnerability-assessment/idbuildpluginspluginartifactIdmaven-assembly-plugin/artifactIdconfigurationdescriptorsdescriptorsrc/main/assembly/va-artifact.xml/descriptor/descriptors/configurationexecutionsexecutionidmake-assembly/idphasepackage/phasegoalsgoalsingle/goal/goals/execution/executions/plugin/plugins/builddependencies!-- specify parent pom --dependencygroupId${project.groupId}/groupIdartifactIdparent/artifactId !-- FIXME --version${project.version}/versiontypepom/type/dependency!-- specify each war file and corresponding pom file --dependencygroupId${project.groupId}/groupIdartifactIdwebapp-1/artifactId !-- FIXME --version${project.version}/versiontypewar/typeclassifierva-war/classifier/dependencydependencygroupId${project.groupId}/groupIdartifactIdwebapp-1/artifactId !-- FIXME --version${project.version}/versiontypepom/type/dependency!-- second... --dependencygroupId${project.groupId}/groupIdartifactIdwebapp-2/artifactId !-- FIXME --version${project.version}/versiontypewar/typeclassifierva-war/classifier/dependencydependencygroupId${project.groupId}/groupIdartifactIdwebapp-2/artifactId !-- FIXME --version${project.version}/versiontypepom/type/dependency!-- and so on... --/dependencies/profile
/profiles一个小陷阱 有一个小陷阱 在这种特定方法中。 各个Web模块可能依赖于公共库的不同版本。 没有人希望这样做但是一旦项目达到一定规模您就无法承受使所有模块保持同步所需的时间和精力。 当我们在公共位置进行依赖关系解析时此信息将丢失。 我不认为这是一个问题原因有两个。 首先我们可以以更细的粒度执行漏洞评估–本质上是在.war级别而不是.ear文件下进行分析。 这保证了库将匹配但是如果我们有大量的Web模块则将极大地增加我们的工作量。 其次我们的主要重点是代码中的漏洞而不是特定版本的第三方库中的漏洞。 这些库为评估工具提供了重要的提示但我们只希望对代码进行完整的分析。 如果有必要我们总是可以对我们依赖的库进行单独的评估。 Jenkins Veracode插件 最后我想指出的是有一个用于Veracode分析的Jenkins插件 Veracode Scanner Plugin 。 它可用于定期计划扫描因此当您最终记得在发布前几天运行扫描时不会发现数百个缺陷。 参考 Invariant Properties博客中的JCG合作伙伴 Bear Giles 使用Maven程序集创建漏洞评估工件 。 翻译自: https://www.javacodegeeks.com/2013/10/creating-vulnerability-assessment-artifacts-using-maven-assembly.htmlidea创建maven程序
