检查软件包漏洞

conan audit 命令用于检查您的 Conan 软件包中已知的漏洞。

默认情况下,Conan 提供对 ConanCenter 提供商的访问,这是一个公共提供商,用于检查 ConanCenter 软件包中的漏洞,它使用 JFrog Advanced Security 扫描软件包。

请求令牌

要使用此命令,您首先需要在 https://audit.conan.io/register 注册免费服务并获取令牌以使用该服务。注册后,您可以使用您的令牌验证 conancenter 提供商:

$ conan audit provider auth conancenter --token=<your_token>

注意

在命令行中使用 --token 可能会在 shell 历史记录中暴露您的令牌。为了防止这种情况,请将其设置为以提供商名称大写命名的环境变量。例如,对于 conancenter,请使用: CONAN_AUDIT_PROVIDER_TOKEN_CONANCENTER=<token>

扫描软件包

验证身份后,您可以使用 conan audit scanconan audit list 命令检查软件包中的漏洞。

  • conan audit scan 将检查给定软件包及其依赖项的漏洞。

  • conan audit list 将列出给定软件包的漏洞,而不检查其依赖项。

$ conan audit list openssl/1.1.1w

Requesting vulnerability info for: openssl/1.1.1w

******************
* openssl/1.1.1w *
******************

2 vulnerabilities found:

- CVE-2023-5678 (Severity: Medium, CVSS: 5.3)

  Issue summary: Generating excessively long X9.42 DH keys or checking
  excessively long X9.42 DH keys or parameters may be very slow.  Impact summary:
  Applications that use the functions DH_generate_key() to generate an X9.42 DH
  key may exper...
  url: https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=db925ae2e65d0d925adef429afc37f75bd1c2017

- CVE-2024-0727 (Severity: Medium, CVSS: 5.5)

  Issue summary: Processing a maliciously formatted PKCS12 file may lead OpenSSL
  to crash leading to a potential Denial of Service attack  Impact summary:
  Applications loading files in the PKCS12 format from untrusted sources might
  terminate ...
  url: https://github.com/alexcrichton/openssl-src-rs/commit/add20f73b6b42be7451af2e1044d4e0e778992b2

Total vulnerabilities found: 2


Summary:

- openssl/1.1.1w 2 vulnerabilities found

Vulnerability information provided by JFrog. Please check https://jfrog.com/advanced-security/ for more information.
You can send questions and report issues about the returned vulnerabilities to conan-research@jfrog.com.

要扫描软件包的整个依赖关系图,最简单的方法是使用 conan audit scan 命令并提供 conanfile 的路径,就像您对其他 Conan 命令(如 conan install)所做的那样。

例如,对于具有 conanfile.txt 的项目

[requires]
libpng/1.5.30
openssl/1.1.1w

您可以运行

$ conan audit scan .

请注意,所有这些命令都支持各种输出格式,例如 JSON 和 HTML。

$ conan audit scan . -f=html > report.html

这将生成一个 HTML 报告,其中包含在给定软件包及其依赖项中发现的漏洞,其外观类似于

Conan audit report

添加私有提供商

您可以将自己的私有提供商添加到 conan audit 子命令使用的提供商列表中。目前,仅支持 JFrog Advanced Security 提供商。

注意

要使用这些私有提供商,您的 Artifactory 许可证应包含 JFrog Curation 订阅

要添加提供商,推荐的方法是首先在 Artifactory 中创建一个特定用户作为只读用户,该用户可以不被授予额外的权限。然后,在为用户创建访问令牌后,您可以使用以下命令添加提供商

$ conan audit provider add myprovider --type=private --url=https://your.artifactory.url --token=<your_token>

注意

您可以不使用命令行中的 --token 参数(这可能会在 shell 历史记录中暴露您的令牌),而是使用环境变量验证提供商的身份。设置 CONAN_AUDIT_PROVIDER_TOKEN_<PROVIDER_NAME> 环境变量,其中令牌值为令牌值,并将 <PROVIDER_NAME> 替换为提供商名称(大写)并使用下划线 (_) 代替连字符 (-)。

例如,对于 myprovider,请使用: CONAN_AUDIT_PROVIDER_TOKEN_MYPROVIDER=<token>

请注意 --type=private 参数,它指定提供商是私有提供商,并且提供的 URL 应该是 Artifactory 实例的基本 URL。

这样,您现在可以使用 conan audit scanconan audit list 命令使用该提供商,方法是使用 -p/--provider 参数指定提供商名称。