有效整合 Semgrep Supply Chain 來識別和預防安全隱患

Semgrep Supply Chain 掃描 C# 需要 packages.lock.json。但是預設的專案並不會有此檔案，可以用以下方式建立：

dotnet restore -p:RestorePackagesWithLockFile=True

或是在 OS 設定環境變數(RestorePackagesWithLockFile = True)，然後執行 dotnet restore。

在 GitLab Pipeline 可以這樣寫：

stages:
  - PreTest
  - Test

lockFile:
  image: mcr.microsoft.com/dotnet/sdk:8.0.201-jammy
  stage: PreTest
  script:
    - dotnet restore -p:RestorePackagesWithLockFile=True
  artifacts:
    paths:
      - ./**/packages.lock.json
    expire_in: 1 week

semgrep:
  image: returntocorp/semgrep
  stage: Test
  dependencies:
    - lockFile
  script: semgrep ci
  rules:
    - if: $CI_PIPELINE_SOURCE == "web"  # allow triggering a scan manually from the gitlab UI
    - if: $CI_MERGE_REQUEST_IID 
    - if: $CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH 
  variables:
    SEMGREP_APP_TOKEN: $SEMGREP_APP_TOKEN
    # To configure MR comments on gitlab.com, see <https://semgrep.dev/docs/semgrep-cloud-platform/gitlab-mr-comments/#enabling-gitlab-merge-request-comments>
    GITLAB_TOKEN: $PAT

packages.lock.json 是什麼？

預設 C# Project 使用的 Package 都是寫在 .csproj，用 [PackageReference] 描述，參考如下：

...
  <ItemGroup>
      <PackageReference Include="Newtonsoft.Json" Version="13.0.3" />
      <PackageReference Include="Serilog" Version="3.1.1" />
  </ItemGroup>
...

每次建制(Build)專案的時候會執行 dotnet restore，會根據 PackageReference 找出 Project 需要的 Packages。注意上述的說明，是每次 Build Project 的時候，重新找出全部的 Packages。所以這「可能」發生相同的程式，一年前執行和現在執行取到不同的 Package，造成得到不同的結果。

packages.lock.json 就是要解決這個問題，確保每一次都一定抓到相同的 Packages。

為什麼 dotnet restore 會抓到不同的 packages

以下情況造成 dotnet restore 結果找出不同的 Packages 集合：

1. nuget.config mismatch: 不同的 OS 上有不同的 nuget.config，造成下載到不同版本的 packages。
2. Intermediate versions:
3. 1. Day 1，<PackageReference Include="My.Sample.Lib" Version="4.0.0"/> Nuget 上有 4.1.0, 4.2.0, 4.3.0，dotnet restore 取得 4.1.0。
   2. Day 2，4.0.0 發佈到 Nuget。這時候執行 dotnet restore 會取得 4.0.0。
3. Package deletion: 如同 2. 的描述，當找不到對應的版本時，dotnet restore 會找最接近的版本，這也就導致抓到不同版本的 package。(Nuget.org 不允許刪除 package；但是 GitLab Package Registry 可以刪除)
4. Floating versions: <PackageReference Include="My.Sample.Lib" Version="4.*"/> 這會抓取 4.x 的最新版本，造成 dotnet restore 會抓取到不同版本。
5. Package content mismatch: 相同的版本號，但是 Package 內容卻不同。這可能發生 Nuget.config 有 2 個以上的來源，都有相同 Package、版本號，這造成 dotnet restore 抓到不同的版本。

Reference

https://devblogs.microsoft.com/nuget/enable-repeatable-package-restores-using-a-lock-file/