J

ava jest popularnym językiem programowania. Dwie główne sprawy tej popularności to bezpieczeństwo oraz dostępność bibliotek i komponentów w jej dużym ekosystemie. Odkąd większość aplikacji Javy robi użytek z tego ekosystemu, a wykorzystywane biblioteki posiadają zależności w innych bibliotekach – zapewnienie integralności bezpieczeństwa takich aplikacji staje dość trudne. Niektóre badania wyjawiły poważną skalę tego problemu. W przedstawionej prezentacji przyjrzano się 1261 wersji z 31 różnych bibliotek, które zostały pobrane z Centralnego Repozytorium Mavena. Jedną z strategii, która taką integralność jest w stanie zapewnić na przyzwoitym poziomie jest wymuszenie przeskanowania listy zależnych bibliotek budowanej aplikacji w bazie danych znanych podatności i zagrożeń – CVE.

Steve Milner pracujący na stanowisku Information Security Analyst w Red Hat stworzył prototyp takiej bazy o nazwie “ofiary”. Zawiera ona mapowanie haszy (SHA-512) plików JAR do numerów ID z bazy CVE, co umożliwia identyfikację konkretnych podatności w używanych plikach JAR. Projektem zainteresował się dział Red Hat Security Response Team (SRT) i opublikował do bazy wszystkie znane podatności swojego oprogramowania typu middleware – JBoss. Zresztą, jak widać na roadmapie – społeczność wokół projektu także może dodawać własne wpisy. Podczas pisania tego wpisu aktualnie w bazie znajduje się 543 hasze identyfikujące konkretne pliki JAR z możliwością ich wyłapania podczas procesu budowy aplikacji. Osoby zainteresowane projektem powinny zapoznać się z możliwościami wtyczki do Mavena, która wymusza skanowania JAR’ów oraz ograniczenia (pkt. “Limitations & Future Work”) związane z tego typu podejściem do bezpieczeństwa.

Więcej informacji: Embedded Vulnerability Detection command line tool, Victims DB