有效整合 Semgrep Supply Chain 來識別和預防安全隱患

更新於 2024/04/08發佈於 2024/04/08閱讀時間約 5 分鐘

Semgrep Supply Chain 掃描 C# 需要 packages.lock.json。但是預設的專案並不會有此檔案，可以用以下方式建立：

dotnet restore -p:RestorePackagesWithLockFile=True

或是在 OS 設定環境變數(RestorePackagesWithLockFile = True)，然後執行 dotnet restore。

在 GitLab Pipeline 可以這樣寫：

stages:
  - PreTest
  - Test

lockFile:
  image: mcr.microsoft.com/dotnet/sdk:8.0.201-jammy
  stage: PreTest
  script:
    - dotnet restore -p:RestorePackagesWithLockFile=True
  artifacts:
    paths:
      - ./**/packages.lock.json
    expire_in: 1 week

semgrep:
  image: returntocorp/semgrep
  stage: Test
  dependencies:
    - lockFile
  script: semgrep ci
  rules:
    - if: $CI_PIPELINE_SOURCE == "web"  # allow triggering a scan manually from the gitlab UI
    - if: $CI_MERGE_REQUEST_IID 
    - if: $CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH 
  variables:
    SEMGREP_APP_TOKEN: $SEMGREP_APP_TOKEN
    # To configure MR comments on gitlab.com, see <https://semgrep.dev/docs/semgrep-cloud-platform/gitlab-mr-comments/#enabling-gitlab-merge-request-comments>
    GITLAB_TOKEN: $PAT

packages.lock.json 是什麼？

預設 C# Project 使用的 Package 都是寫在 .csproj，用 [PackageReference] 描述，參考如下：

...
  <ItemGroup>
      <PackageReference Include="Newtonsoft.Json" Version="13.0.3" />
      <PackageReference Include="Serilog" Version="3.1.1" />
  </ItemGroup>
...

每次建制(Build)專案的時候會執行 dotnet restore，會根據 PackageReference 找出 Project 需要的 Packages。注意上述的說明，是每次 Build Project 的時候，重新找出全部的 Packages。所以這「可能」發生相同的程式，一年前執行和現在執行取到不同的 Package，造成得到不同的結果。

packages.lock.json 就是要解決這個問題，確保每一次都一定抓到相同的 Packages。

為什麼 dotnet restore 會抓到不同的 packages

以下情況造成 dotnet restore 結果找出不同的 Packages 集合：

nuget.config mismatch: 不同的 OS 上有不同的 nuget.config，造成下載到不同版本的 packages。
Intermediate versions:
1. Day 1，<PackageReference Include="My.Sample.Lib" Version="4.0.0"/> Nuget 上有 4.1.0, 4.2.0, 4.3.0，dotnet restore 取得 4.1.0。
2. Day 2，4.0.0 發佈到 Nuget。這時候執行 dotnet restore 會取得 4.0.0。
Package deletion: 如同 2. 的描述，當找不到對應的版本時，dotnet restore 會找最接近的版本，這也就導致抓到不同版本的 package。(Nuget.org 不允許刪除 package；但是 GitLab Package Registry 可以刪除)
Floating versions: <PackageReference Include="My.Sample.Lib" Version="4.*"/> 這會抓取 4.x 的最新版本，造成 dotnet restore 會抓取到不同版本。
Package content mismatch: 相同的版本號，但是 Package 內容卻不同。這可能發生 Nuget.config 有 2 個以上的來源，都有相同 Package、版本號，這造成 dotnet restore 抓到不同的版本。

Reference

https://devblogs.microsoft.com/nuget/enable-repeatable-package-restores-using-a-lock-file/

留言

留言分享你的想法！

C# 工匠的 DevOps 旅程

5會員

12內容數

專注於 C#, DevOps 的工程師

C# 工匠的 DevOps 旅程的其他內容

2024/09/23

C# Async Programming的注意事項

本文探討 C# 非同步程式設計時應注意的幾個要點，包括全面採用非同步模式、避免混用同步與非同步程式碼、勿使用async void、以及正確使用CancellationToken等。這些建議不僅有助於提升程式的效能，也可以減少Deadlock等問題，讓開發者更有效地處理異常情況，確保應用程式的穩定性.