譯者 | 陳峻n2E28資訊網——每日最新資訊28at.com

審校 | 重樓n2E28資訊網——每日最新資訊28at.com

在現代開發環境中，持續集成（CI）和持續交付（CD）管道對于向最終用戶交付軟件的變更已是“家常便飯”。這導致了過去在部署之后才執行安全測試的傳統方法，對于每天可能要進行數十甚至數百次部署的場景而言，已不再有效。n2E28資訊網——每日最新資訊28at.com

n2E28資訊網——每日最新資訊28at.com

安全測試人員為了能夠輕松地自動運行和協調一系列開箱即用的安全測試工具，也往往需要一個模塊化的工具鏈。而secureCodeBox正是這樣一個基于Kubernetes（又稱 K8s）的、可被用于對軟件項目進行持續安全掃描的工具。它能夠被集成到CI/CD管道中，自動掃描變更，并向開發人員提供測試結果，以便他們在部署之前修復軟件問題。n2E28資訊網——每日最新資訊28at.com

架構

總的說來，secureCodeBox的架構如下圖所示：n2E28資訊網——每日最新資訊28at.com

secureCodeBox的架構圖n2E28資訊網——每日最新資訊28at.com

而且，由于Kubernetes作業可以按需啟動，并只在需要時才使用資源，因此它能夠在掃描活動之間節省大量資源。同時，其另一個優勢在于，所有不必要的掃描工件或元數據都會在Kubernetes作業執行之間被刪除。n2E28資訊網——每日最新資訊28at.com

如圖所示，負責處理這一流程的主要組件便是secureCodeBox操作器（Operator）。該操作器通過為每個步驟觸發相應的Kubernetes作業來協調掃描，即：從掃描活動開始，到解析結果，再到修改和持久化結果。整個過程無需依賴人工安全審查，而且具有可擴展性，可以輕松添加更多的掃描器作為新的Kubernetes對象。n2E28資訊網——每日最新資訊28at.com

部署secureCodeBox

SecureCodeBox可以使用Helm圖表在Kubernetes中進行部署。畢竟Helm在K8s中不需要太多的部署工作，而且部署的對象可以通過Helm變量輕松調整。n2E28資訊網——每日最新資訊28at.com

下面，我將使用Minikube創建一個本地Kubernetes集群。這里，Minikube并不是為生產環境的用例而設計的，不過您可以用它來測試性部署在K8s中。n2E28資訊網——每日最新資訊28at.com

首先，我們使用如下命令，以 4 個CPU和2048 MB內存的方式啟動Minikube：n2E28資訊網——每日最新資訊28at.com

minikube start --cpus=4 --memory=2048m

啟動Minikube之后，我們便可以使用如下命令添加Helm資源庫：n2E28資訊網——每日最新資訊28at.com

helm repo addsecureCodeBoxhttps://charts.securecodebox.io

接著，我們可以使用以下命令創建新的K8s命名空間。在此，我強烈建議您創建一個單獨的Kubernetes命名空間，將secureCodeBox對象與其他K8s對象分離開來，尤其是在K8s中已部署了其他服務的情況下。據此，我們可以更方便地管理新創建的、專用于該平臺的對象。n2E28資訊網——每日最新資訊28at.com

kubectl create namespacesecureCodeBox-system

命令成功執行后，我們就可以在新創建的名為securecodebox-system 的命名空間中，使用如下命令安裝secureCodeBox了：n2E28資訊網——每日最新資訊28at.com

helm --namespacesecureCodeBox-system upgrade --installsecureCodeBox-operatorsecureCodeBox/operator

至此，secureCodeBox操作器已部署完畢，可隨時進行掃描管理了。下圖展示了上述各項命令：n2E28資訊網——每日最新資訊28at.com

啟動Minikube并部署secureCodeBoxn2E28資訊網——每日最新資訊28at.com

如下圖所示，您可以通過執行kubectl get pods -nsecureCodeBox-system來驗證pod是否正常運行。n2E28資訊網——每日最新資訊28at.com

在K8s中運行secureCodeBoxPodsn2E28資訊網——每日最新資訊28at.com

使用secureCodeBox進行掃描

SecureCodeBox集成了許多適用于各種場景的流行掃描組件。其官方文檔就提及了 20 多種掃描集成，其中包括但不限于：n2E28資訊網——每日最新資訊28at.com

1. 靜態應用安全測試(SAST)，如：Semgrep
2. 動態應用安全測試(DAST)，如：ZAP、Nikto、Nuclei
3. 軟件構成分析(SCA)，如：用于容器掃描的Trivy

此外，SecureCodeBox還集成了各種常用工具，如：用于Web掃描的nmap、用于密鑰檢測的Gitleaks等。n2E28資訊網——每日最新資訊28at.com

SecureCodeBox的掃描集成n2E28資訊網——每日最新資訊28at.com

n2E28資訊網——每日最新資訊28at.com

由于secureCodeBox中的掃描器是由ScanTypes表示的，而ScanTypes在Kubernetes中屬于定制資源定義（CustomResourceDefinition），因此在運行掃描之前，我們必須通過如下Helm命令，將Semgrep安裝到secureCodeBox中：n2E28資訊網——每日最新資訊28at.com

helm upgrade --install semgrepsecureCodeBox/semgrep -nsecureCodeBox-system

下圖展示了該命令的截圖：n2E28資訊網——每日最新資訊28at.com

安裝Semgrep掃描器n2E28資訊網——每日最新資訊28at.com

安裝好Semgrep掃描類型（ScanType）之后，我們就可以針對所選的存儲庫開始配置掃描器了。以下是Semgrep配置的示例，您可以參見其官方文檔。該配置實際上是一個描述性的掃描（Scan）YAML文檔，即在K8s中secureCodeBox使用的一個自定義對象。n2E28資訊網——每日最新資訊28at.com

apiVersion: "execution.securecodebox.io/v1"kind: Scanmetadata: name: "semgrep-vulnerable-flask-app"spec: # Specify aKubernetesvolume that will be shared between the scanner and the initContainer volumes: - name: repository emptyDir: {} # Mount the volume in the scan container volumeMounts: - mountPath: "/repo/" name: repository # Specify an init container to clone the repository initContainers: - name: "provision-git" # Use an image that includes git image: bitnami/git # Mount the same volume we also use in the main container volumeMounts: - mountPath: "/repo/" name: repository # Specify the clone command and clone into the volume, mounted at /repo/ command: - git - clone - "https://github.com/we45/Vulnerable-Flask-App" - /repo/flask-app # Parameterize the semgrep scan itself scanType: "semgrep" parameters: - "-c" - "p/ci" - "/repo/flask-app"

在上述配置中，您可以看到，作為容器的prosision-git被用于執行git clone，以下載所選的存儲庫。在本例中，它克隆了Vulnerable Flask App，以便對其執行掃描。此處的Vulnerable Flask App是一個使用Python Flask框架創建的Web應用。當然，通過自定義的git參數，您也可以改變命令參數，以克隆任何選定的存儲庫。n2E28資訊網——每日最新資訊28at.com

在上例中，存儲庫被克隆到了/repo/flask-app目錄中，該目錄也是在provision-git和semgrep容器之間共享的Kubernetes卷。一旦存儲庫被克隆，Semgrep就會使用參數配置來啟動掃描。這些參數，尤其是使用到的規則，都是可以被調整的。而且，由于Semgrep的規則是公開的，因此您可以在規則注冊表中輕松找到。n2E28資訊網——每日最新資訊28at.com

下面，讓我們將YAML文檔保存為semgrep-vulnerable-flask-app.yaml，然后使用如下kubectl命令啟動掃描：n2E28資訊網——每日最新資訊28at.com

kubectl apply -f semgrep-vulnerable-flask-app.yaml -nsecureCodeBox-system

該命令的輸出結果如下圖所示：n2E28資訊網——每日最新資訊28at.com

n2E28資訊網——每日最新資訊28at.com

針對存在漏洞的Flask App運行Semgrep掃描n2E28資訊網——每日最新資訊28at.com

我使用了kubectl get scan命令來檢查掃描狀態。由于secureCodeBox使用K8s對象來表示掃描，因此它們的訪問方式與其他K8s對象類似。n2E28資訊網——每日最新資訊28at.com

后續，您可以再次執行相同的get命令，來驗證掃描是否成功完成。n2E28資訊網——每日最新資訊28at.com

n2E28資訊網——每日最新資訊28at.com

n2E28資訊網——每日最新資訊28at.com

如上圖所述，Done狀態表示掃描已完成，且包含了1項發現。n2E28資訊網——每日最新資訊28at.com

獲取結果詳情

在默認配置下，掃描結果不會保存在數據庫中。您可以使用如下kubectl describe命令來訪問掃描的輸出：n2E28資訊網——每日最新資訊28at.com

kubectl describe scan semgrep-vulnerable-flask-app -nsecureCodeBox-system

在kubectl的輸出中，我們可以看到如下內容：n2E28資訊網——每日最新資訊28at.com

n2E28資訊網——每日最新資訊28at.com

Semgrep執行掃描后的輸出n2E28資訊網——每日最新資訊28at.com

在上圖中，我們可以通過“發現下載鏈接（Finding Download Link）”來下載報告。我據此訪問了指向Kubernetes服務的URL，并收到了作為響應的、JSON格式的Semgrep報告。下面，讓我們來查看這份報告：n2E28資訊網——每日最新資訊28at.com

{... "results": [ { "check_id": "python.jwt.security.jwt-hardcode.jwt-python-hardcoded-secret", "end": { "col": 193, "line": 184, "offset": 6227 }, "extra": { "engine_kind": "OSS", "fingerprint": "221138ec7d837ea33e1e3346821e6bf50d3f21bf8600de705b7831ef2fe9139023f1f58202a21034ac06a54a67236bd9a41624ac7960e173627cb6298a92c5c6_0", "is_ignored": false, "lines": " auth_token = jwt.encode({'user': username, 'exp': get_exp_date(), 'nbf': datetime.datetime.utcnow(), 'iss': 'we45', 'iat': datetime.datetime.utcnow()}, app.config['SECRET_KEY_HMAC'], algorithm='HS256')", "message": "Hardcoded JWT secret or private key is used. This is a Insufficiently Protected Credentials weakness: https://cwe.mitre.org/data/definitions/522.html Consider using an appropriate security mechanism to protect the credentials (e.g. keeping secrets in environment variables)", "metadata": { "category": "security", "confidence": "HIGH", "cwe": [ "CWE-522: Insufficiently Protected Credentials" ], "cwe2021-top25": true, "impact": "MEDIUM", "license": "Commons Clause License Condition v1.0[LGPL-2.1-only]", "likelihood": "HIGH", "owasp": [ "A02:2017 - Broken Authentication", "A04:2021 - Insecure Design" ], "references": [ "https://semgrep.dev/blog/2020/hardcoded-secrets-unverified-tokens-and-other-common-jwt-mistakes/" ], "semgrep.dev": { "rule": { "origin": "community", "rule_id": "X5U8P5", "url": "https://semgrep.dev/playground/r/l4T4vPA/python.jwt.security.jwt-hardcode.jwt-python-hardcoded-secret", "version_id": "l4T4vPA" } },...}

在上述報告中，我們可以看到：規則python.jwt.security.jwt-hardcode.jwt-python-hardcoded-secret識別出了存儲庫中的一個硬編碼密鑰。其問題就出現在第 184行，與創建JWT令牌有關。作為令牌的密文，它使用了存儲在app.config['SECRET_KEY_HMAC']變量中的值。為了弄清楚這個值到底是硬編碼，還是從環境變量等中獲取的，我們搜索了設置該密鑰的位置，并最終確定了該變量定義的確源于硬編碼。n2E28資訊網——每日最新資訊28at.com

...app.config['SECRET_KEY_HMAC'] = 'secret'app.config['SECRET_KEY_HMAC_2'] = 'am0r3C0mpl3xK3y'app.secret_key = 'F12Zr47j/3yX R~X@H!jmM]Lwf/,?KT'... if auth_user: auth_token = jwt.encode({'user': username, 'exp': get_exp_date(), 'nbf': datetime.datetime.utcnow(), 'iss': 'we45', 'iat': datetime.datetime.utcnow()}, app.config['SECRET_KEY_HMAC'], algorithm='HS256') resp = Response(json.dumps({'Authenticated': True, "User": username})) #resp.set_cookie('SESSIONID', auth_token) resp.headers['Authorization'] = "{0}".format(auth_token) resp.status_code = 200 resp.mimetype = 'application/json' return resp...

此外，為了加快漏洞報告的訪問效率，我們可以使用DefectDojo作為與secureCodeBox集成的漏洞管理平臺，以通過其友好的用戶界面和更高效的漏洞管理，來改進流程。目前，SecureCodeBox允許我們將發現結果以持久方式傳遞給Azure Monitor、DefectDojo、Dependency-Track、以及ElasticSearch等服務。n2E28資訊網——每日最新資訊28at.com

小結

secureCodeBox作為一個獨立的掃描器，配置起來非常簡單。在上文中，我們介紹了secureCodeBox的架構、可用的掃描器、各種配置示例、以及典型用例。n2E28資訊網——每日最新資訊28at.com

在我看來，secureCodeBox既是一個非常有前途的持續安全測試方案，也是為數不多的此類開源項目之一。通過將其集成到CI/CD中，并根據代碼庫相關事件觸發掃描，它不但提供了在Kubernetes中執行安全測試的能力，而且提供了許多開源掃描器的集成，因此覆蓋了持續安全測試的大部分方面。同時，它也可以被用作一體化的掃描服務，針對代碼庫和已部署的應用定期執行自動化的安全評估。n2E28資訊網——每日最新資訊28at.com

此外，secureCodeBox還可以直接向CI或專用開發人員提供報告，使之能夠在將代碼合并到主分支之前，修復已發現的漏洞。當然，應該指出的是，由滲透測試人員進行人工安全測試的傳統方法仍然十分重要，畢竟自動化可能無法檢測到復雜的安全問題。n2E28資訊網——每日最新資訊28at.com

總之，如果您正在尋找一個一體化的開源掃描儀，且愿意使用Kubernetes和YAML文件去自定義掃描的話，secureCodeBox會是持續安全測試中最好、最被低估的開源項目之一。n2E28資訊網——每日最新資訊28at.com

譯者介紹

陳峻（Julian Chen），51CTO社區編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗。n2E28資訊網——每日最新資訊28at.com

原文標題：Exploring secureCodeBox— An Open-Source Continuous Security Testing Solution for DevSecOps，作者：Krzysztof Pranczkn2E28資訊網——每日最新資訊28at.com

本文鏈接：http://m.www897cc.com/showinfo-26-75314-0.html面向DevSecOps的開源持續安全測試方案--secureCodeBox

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。郵件：2376512515@qq.com

上一篇： Git 不用背，這篇文章幫助你簡化 Git 的學習過程

下一篇： 在DDD集成支付寶支付，看這篇文章就夠了！