有效整合 Semgrep Supply Chain 來識別和預防安全隱患

Costa Chen-avatar-img
Costa Chen
更新於 發佈於 閱讀時間約 5 分鐘

Semgrep Supply Chain 掃描 C# 需要 packages.lock.json。但是預設的專案並不會有此檔案,可以用以下方式建立:

dotnet restore -p:RestorePackagesWithLockFile=True

或是在 OS 設定環境變數(RestorePackagesWithLockFile = True),然後執行 dotnet restore。

在 GitLab Pipeline 可以這樣寫:

stages:
  - PreTest
  - Test

lockFile:
  image: mcr.microsoft.com/dotnet/sdk:8.0.201-jammy
  stage: PreTest
  script:
    - dotnet restore -p:RestorePackagesWithLockFile=True
  artifacts:
    paths:
      - ./**/packages.lock.json
    expire_in: 1 week

semgrep:
  image: returntocorp/semgrep
  stage: Test
  dependencies:
    - lockFile
  script: semgrep ci
  rules:
    - if: $CI_PIPELINE_SOURCE == "web"  # allow triggering a scan manually from the gitlab UI
    - if: $CI_MERGE_REQUEST_IID 
    - if: $CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH 
  variables:
    SEMGREP_APP_TOKEN: $SEMGREP_APP_TOKEN
    # To configure MR comments on gitlab.com, see <https://semgrep.dev/docs/semgrep-cloud-platform/gitlab-mr-comments/#enabling-gitlab-merge-request-comments>
    GITLAB_TOKEN: $PAT

packages.lock.json 是什麼?

預設 C# Project 使用的 Package 都是寫在 .csproj,用 [PackageReference] 描述,參考如下:

...
  <ItemGroup>
      <PackageReference Include="Newtonsoft.Json" Version="13.0.3" />
      <PackageReference Include="Serilog" Version="3.1.1" />
  </ItemGroup>
...

每次建制(Build)專案的時候會執行 dotnet restore,會根據 PackageReference 找出 Project 需要的 Packages。注意上述的說明,是每次 Build Project 的時候,重新找出全部的 Packages。所以這「可能」發生相同的程式,一年前執行和現在執行取到不同的 Package,造成得到不同的結果。

packages.lock.json 就是要解決這個問題,確保每一次都一定抓到相同的 Packages。

為什麼 dotnet restore 會抓到不同的 packages

以下情況造成 dotnet restore 結果找出不同的 Packages 集合:

  1. nuget.config mismatch: 不同的 OS 上有不同的 nuget.config,造成下載到不同版本的 packages。
  2. Intermediate versions:
    1. Day 1,<PackageReference Include="My.Sample.Lib" Version="4.0.0"/> Nuget 上有 4.1.0, 4.2.0, 4.3.0,dotnet restore 取得 4.1.0。
    2. Day 2,4.0.0 發佈到 Nuget。這時候執行 dotnet restore 會取得 4.0.0。
  4. Package deletion: 如同 2. 的描述,當找不到對應的版本時,dotnet restore 會找最接近的版本,這也就導致抓到不同版本的 package。(Nuget.org 不允許刪除 package;但是 GitLab Package Registry 可以刪除)
  5. Floating versions: <PackageReference Include="My.Sample.Lib" Version="4.*"/> 這會抓取 4.x 的最新版本,造成 dotnet restore 會抓取到不同版本。
  6. Package content mismatch: 相同的版本號,但是 Package 內容卻不同。這可能發生 Nuget.config 有 2 個以上的來源,都有相同 Package、版本號,這造成 dotnet restore 抓到不同的版本。

Reference

https://devblogs.microsoft.com/nuget/enable-repeatable-package-restores-using-a-lock-file/

留言
avatar-img
留言分享你的想法!
avatar-img
C# 工匠的 DevOps 旅程
5會員
12內容數
專注於 C#, DevOps 的工程師
C# 工匠的 DevOps 旅程的其他內容
2024/09/23
C# Async Programming的注意事項
本文探討 C# 非同步程式設計時應注意的幾個要點,包括全面採用非同步模式、避免混用同步與非同步程式碼、勿使用async void、以及正確使用CancellationToken等。這些建議不僅有助於提升程式的效能,也可以減少Deadlock等問題,讓開發者更有效地處理異常情況,確保應用程式的穩定性.
Thumbnail
2024/09/23
C# Async Programming的注意事項
本文探討 C# 非同步程式設計時應注意的幾個要點,包括全面採用非同步模式、避免混用同步與非同步程式碼、勿使用async void、以及正確使用CancellationToken等。這些建議不僅有助於提升程式的效能,也可以減少Deadlock等問題,讓開發者更有效地處理異常情況,確保應用程式的穩定性.
Thumbnail
2024/06/24
.NET Code Coverage
Code Coverage 是什麼? 程式碼覆蓋率(Code Coverage)是一種軟體測試指標,用百分比表示,數值越高越好。
Thumbnail
2024/06/24
.NET Code Coverage
Code Coverage 是什麼? 程式碼覆蓋率(Code Coverage)是一種軟體測試指標,用百分比表示,數值越高越好。
Thumbnail
2024/02/20
如何將 Semgrep 整合到 GitLab Pipeline 以進行 SAST 掃描
Semgrep 是一個功能強大的 SAST 工具,可以幫助開發人員早期發現程式碼中的安全問題,本文介紹如何將 Semgrep 整合到 GitLab Pipeline 以進行 SAST 掃描。
Thumbnail
2024/02/20
如何將 Semgrep 整合到 GitLab Pipeline 以進行 SAST 掃描
Semgrep 是一個功能強大的 SAST 工具,可以幫助開發人員早期發現程式碼中的安全問題,本文介紹如何將 Semgrep 整合到 GitLab Pipeline 以進行 SAST 掃描。
Thumbnail
看更多
你可能也想看
Thumbnail
avatar-avatar
小愛和彤彤的小日常的沙龍
告別瞇眼寫功課!喜光TIONE⁺光健康智慧檯燈守護孩子視力
孩子寫功課時瞇眼?小心近視!這款喜光全光譜TIONE⁺光健康智慧檯燈,獲眼科院長推薦,網路好評不斷!全光譜LED、180cm大照明範圍、5段亮度及色溫調整、350度萬向旋轉,讓孩子學習更舒適、保護眼睛!
#方格新手#保護眼睛#閱讀
Thumbnail
avatar-avatar
小愛和彤彤的小日常的沙龍
告別瞇眼寫功課!喜光TIONE⁺光健康智慧檯燈守護孩子視力
孩子寫功課時瞇眼?小心近視!這款喜光全光譜TIONE⁺光健康智慧檯燈,獲眼科院長推薦,網路好評不斷!全光譜LED、180cm大照明範圍、5段亮度及色溫調整、350度萬向旋轉,讓孩子學習更舒適、保護眼睛!
#方格新手#保護眼睛#閱讀
Thumbnail
avatar-avatar
方格子 vocus 官方沙龍
徵才:創作者營運專員/經理(Operations Specialist)|Creator Partnership 部門
創作者營運專員/經理(Operations Specialist/Manager)將負責對平台成長及收入至關重要的 Partnership 夥伴創作者開發及營運。你將發揮對知識與內容變現、影響力變現的精準判斷力,找到你心中的潛力新星或有聲量的中大型創作者加入 vocus。
#vocus#方格子#求職
Thumbnail
avatar-avatar
方格子 vocus 官方沙龍
徵才:創作者營運專員/經理(Operations Specialist)|Creator Partnership 部門
創作者營運專員/經理(Operations Specialist/Manager)將負責對平台成長及收入至關重要的 Partnership 夥伴創作者開發及營運。你將發揮對知識與內容變現、影響力變現的精準判斷力,找到你心中的潛力新星或有聲量的中大型創作者加入 vocus。
#vocus#方格子#求職
Thumbnail
avatar-avatar
Michael楊
Javascript入門-Day10:套件
套件(Package)是將程式或程式庫進行組織、分發和共享的一種方式。在軟體開發中,套件通常包含了相關的程式碼、資源文件和元數據,並提供了統一的名稱空間和版本管理。
#Javascript
Thumbnail
avatar-avatar
Michael楊
Javascript入門-Day10:套件
套件(Package)是將程式或程式庫進行組織、分發和共享的一種方式。在軟體開發中,套件通常包含了相關的程式碼、資源文件和元數據,並提供了統一的名稱空間和版本管理。
#Javascript
Thumbnail
avatar-avatar
廖偉帆的沙龍
如何用 git update-index 避免更改檔案
在進行Electron 專案時,後端夥伴選擇將 sqlite 資料庫跟專案檔打包成一個執行檔。在開發過程中,前端的操作經常會更動到 db的資料,此時 Git 就會追蹤到 db 的變化,因此前端在推送檔案到遠端 repo 前,會需要將其移出 Git 追蹤範圍,該怎麼做?
#前端#Git#Electron
Thumbnail
avatar-avatar
廖偉帆的沙龍
如何用 git update-index 避免更改檔案
在進行Electron 專案時,後端夥伴選擇將 sqlite 資料庫跟專案檔打包成一個執行檔。在開發過程中,前端的操作經常會更動到 db的資料,此時 Git 就會追蹤到 db 的變化,因此前端在推送檔案到遠端 repo 前,會需要將其移出 Git 追蹤範圍,該怎麼做?
#前端#Git#Electron
Thumbnail
avatar-avatar
Err500
【Git】版本控制基本指令
本篇文章介紹如何使用Git Bash進行版本控制操作,包括創建repository、查看狀態、歷程以及加入暫存和提交暫存等操作。透過基本的Git指令,您可以更深入地瞭解Git工具的使用方法。
#專案#Git#版本控制
Thumbnail
avatar-avatar
Err500
【Git】版本控制基本指令
本篇文章介紹如何使用Git Bash進行版本控制操作,包括創建repository、查看狀態、歷程以及加入暫存和提交暫存等操作。透過基本的Git指令,您可以更深入地瞭解Git工具的使用方法。
#專案#Git#版本控制
Thumbnail
avatar-avatar
Michael楊
C#入門-Day10:套件
本章講述了C#開發中的程序集,命名空間和 NuGet 包管理器。程序集是 .NET 應用的基礎,命名空間用於組織和預防命名衝突,而 NuGet 用於管理 .NET 的外部庫和依賴項。
Thumbnail
avatar-avatar
Michael楊
C#入門-Day10:套件
本章講述了C#開發中的程序集,命名空間和 NuGet 包管理器。程序集是 .NET 應用的基礎,命名空間用於組織和預防命名衝突,而 NuGet 用於管理 .NET 的外部庫和依賴項。
Thumbnail
avatar-avatar
小黑與程式的邂逅
[Linux][Ubuntu]GitLab
GitLab為程式碼管理倉庫,且從8.0開始提供CI/CD。 安裝 更新套件索引 sudo apt update 安裝postfix sudo apt install ca-certifi​cates curl openssh-server postfix 切換目錄 cd /t
#GitLab#CI#CD
Thumbnail
avatar-avatar
小黑與程式的邂逅
[Linux][Ubuntu]GitLab
GitLab為程式碼管理倉庫,且從8.0開始提供CI/CD。 安裝 更新套件索引 sudo apt update 安裝postfix sudo apt install ca-certifi​cates curl openssh-server postfix 切換目錄 cd /t
#GitLab#CI#CD
Thumbnail
avatar-avatar
C# 工匠的 DevOps 旅程
有效整合 Semgrep Supply Chain 來識別和預防安全隱患
本文介紹瞭如何在C#專案中建立和使用packages.lock.json檔案,以確保每次執行dotnet restore時都可以獲得相同的packages集合。我們還討論了dotnet restore抓取不同packages的原因,並提供了相關的解決方案。
#GitLab#Semgrep#CSharp
Thumbnail
avatar-avatar
C# 工匠的 DevOps 旅程
有效整合 Semgrep Supply Chain 來識別和預防安全隱患
本文介紹瞭如何在C#專案中建立和使用packages.lock.json檔案,以確保每次執行dotnet restore時都可以獲得相同的packages集合。我們還討論了dotnet restore抓取不同packages的原因,並提供了相關的解決方案。
#GitLab#Semgrep#CSharp
Thumbnail
avatar-avatar
linct的沙龍
程式執行結果之自動檢查
資料庫之備份工作大都是自動執行,但是執行結果是否成功,需要安排人員去檢查,有時疏忽忘記確認作業,致備份工作失敗仍不知道,等到有一天需要回復舊有資料的場合時,才發現找不到過去某段期間的備份資料,造成無法彌補之後果。   2.    改善: 2.1 設計一執行檔,功能為打開備
#cmd#windows#bat
Thumbnail
avatar-avatar
linct的沙龍
程式執行結果之自動檢查
資料庫之備份工作大都是自動執行,但是執行結果是否成功,需要安排人員去檢查,有時疏忽忘記確認作業,致備份工作失敗仍不知道,等到有一天需要回復舊有資料的場合時,才發現找不到過去某段期間的備份資料,造成無法彌補之後果。   2.    改善: 2.1 設計一執行檔,功能為打開備
#cmd#windows#bat
Thumbnail
avatar-avatar
C# 工匠的 DevOps 旅程
如何將 Semgrep 整合到 GitLab Pipeline 以進行 SAST 掃描
Semgrep 是一個功能強大的 SAST 工具,可以幫助開發人員早期發現程式碼中的安全問題,本文介紹如何將 Semgrep 整合到 GitLab Pipeline 以進行 SAST 掃描。
#程式#開發#semgrep
Thumbnail
avatar-avatar
C# 工匠的 DevOps 旅程
如何將 Semgrep 整合到 GitLab Pipeline 以進行 SAST 掃描
Semgrep 是一個功能強大的 SAST 工具,可以幫助開發人員早期發現程式碼中的安全問題,本文介紹如何將 Semgrep 整合到 GitLab Pipeline 以進行 SAST 掃描。
#程式#開發#semgrep
Thumbnail
avatar-avatar
小黑與程式的邂逅
[Go]處理請求
Request內容 package main import ( "fmt" "log" "net/http" "strings" ) func request(w http.ResponseWriter, r *http.Request) { //這些資訊是輸出到伺服器端的列印訊息
#go#golang#request
Thumbnail
avatar-avatar
小黑與程式的邂逅
[Go]處理請求
Request內容 package main import ( "fmt" "log" "net/http" "strings" ) func request(w http.ResponseWriter, r *http.Request) { //這些資訊是輸出到伺服器端的列印訊息
#go#golang#request
Thumbnail
avatar-avatar
Tim Bai的沙龍
npm 專案版號管理指令
npm 做為 node 套件版本管理工具,今天來學習如何使用 npm 升級 package.json 版號管理,可以對一個專案版號管理更加制式化 major 目標升級版號 指令 npm version --new-version major 範例 v1.0.0 -> v2.0.0 mi
#npm#科技力
Thumbnail
avatar-avatar
Tim Bai的沙龍
npm 專案版號管理指令
npm 做為 node 套件版本管理工具,今天來學習如何使用 npm 升級 package.json 版號管理,可以對一個專案版號管理更加制式化 major 目標升級版號 指令 npm version --new-version major 範例 v1.0.0 -> v2.0.0 mi
#npm#科技力
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News