#挑战30天在头条写日记#

项目介绍

OpenSCA 用来扫描项目的第三方组件依赖及漏洞信息。

检测能力

OpenSCA现已支持以下编程语言相关的配置文件解析及对应的包管理器，后续会逐步支持更多的编程语言，丰富相关配置文件的解析。

下载安装

1. 从 releases 下载对应系统架构的可执行文件压缩包
2. 或者下载源码编译(需要 go 1.18 及以上版本)
3. git clone https://github.com/XmirrorSecurity/OpenSCA-cli.git opensca cd opensca go build -o opensca-cli main.go
4. 默认生成当前系统架构的程序，如需生成其他系统架构可配置环境变量后编译
5. 禁用CGO_ENABLED CGO_ENABLED=0
6. 指定操作系统 GOOS=${OS} \\ darwin,liunx,windows
7. 指定体系架构 GOARCH=${arch} \\ amd64,arm64

使用样例

检测并输出检测结果到命令行/终端界面（默认）

仅检测组件信息

opensca-cli -path ${project_path}

连接云平台

opensca-cli -url ${url} -token ${token} -path ${project_path}

或使用本地漏洞库

opensca-cli -db db.json -path ${project_path}

检测并输出检测结果文件（使用out参数）

out参数支持范围如下：

样例

opensca-cli -url ${url} -token ${token} -path ${project_path} -out ${filename}.${suffix}

参数说明

可在配置文件中配置参数，也可在命令行输入参数，两者冲突时优先使用输入参数

1.0.9及以上版本支持配置maven私服库，需要在配置文件config.json里进行配置，格式如下：

{
    "maven": [
        {
            "repo": "url",
            "user": "user",
            "password": "password"
        }
    ]
}

漏洞库文件格式

[
  {
    "vendor": "org.apache.logging.log4j",
    "product": "log4j-core",
    "version": "[2.0-beta9,2.12.2)||[2.13.0,2.15.0)",
    "language": "java",
    "name": "Apache Log4j2 远程代码执行漏洞",
    "id": "XMIRROR-2021-44228",
    "cve_id": "CVE-2021-44228",
    "cnnvd_id": "CNNVD-202112-799",
    "cnvd_id": "CNVD-2021-95914",
    "cwe_id": "CWE-502,CWE-400,CWE-20",
    "description": "Apache Log4j是美国阿帕奇（Apache）基金会的一款基于Java的开源日志记录工具。\r\nApache Log4J 存在代码问题漏洞，攻击者可设计一个数据请求发送给使用 Apache Log4j工具的服务器，当该请求被打印成日志时就会触发远程代码执行。",
    "description_en": "Apache Log4j2 2.0-beta9 through 2.12.1 and 2.13.0 through 2.15.0 JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can execute arbitrary code loaded from LDAP servers when message lookup substitution is enabled. From log4j 2.15.0, this behavior has been disabled by default. From version 2.16.0, this functionality has been completely removed. Note that this vulnerability is specific to log4j-core and does not affect log4net, log4cxx, or other Apache Logging Services projects.",
    "suggestion": "2.12.1及以下版本可以更新到2.12.2，其他建议更新至2.15.0或更高版本，漏洞详情可参考：https://github.com/apache/logging-log4j2/pull/608 \r\n1、临时解决方案，适用于2.10及以上版本：\r\n\t（1）设置jvm参数：“-Dlog4j2.formatMsgNoLookups=true”；\r\n\t（2）设置参数：“log4j2.formatMsgNoLookups=True”；",
    "attack_type": "远程",
    "release_date": "2021-12-10",
    "security_level_id": 1,
    "exploit_level_id": 1
  }
]

漏洞库字段说明

*本地漏洞库中language字段设定值包含java、js、golang、rust、php、ruby、python，其他语言不受设定匹配限制，按实际情况填写即可。

v1.0.13开始支持sql类的数据源，需要按照上述字段预先创建好数据表并在配置文件中作相应配置：

{
  "origin":{
    "mysql":{
      "dsn":"user:password@tcp(ip:port)/dbname",
      "table":"table_name"
    },
    "json":{
      "dsn":"db.json"
    }
  }
}

项目地址：

https://github.com/XmirrorSecurity/OpenSCA-cli