有效整合 Semgrep Supply Chain 來識別和預防安全隱患
更新於 發佈於 閱讀時間約 5 分鐘
Semgrep Supply Chain 掃描 C# 需要 packages.lock.json。但是預設的專案並不會有此檔案,可以用以下方式建立:
dotnet restore -p:RestorePackagesWithLockFile=True或是在 OS 設定環境變數(RestorePackagesWithLockFile = True),然後執行 dotnet restore。
在 GitLab Pipeline 可以這樣寫:
stages:
- PreTest
- Test
lockFile:
image: mcr.microsoft.com/dotnet/sdk:8.0.201-jammy
stage: PreTest
script:
- dotnet restore -p:RestorePackagesWithLockFile=True
artifacts:
paths:
- ./**/packages.lock.json
expire_in: 1 week
semgrep:
image: returntocorp/semgrep
stage: Test
dependencies:
- lockFile
script: semgrep ci
rules:
- if: $CI_PIPELINE_SOURCE == "web" # allow triggering a scan manually from the gitlab UI
- if: $CI_MERGE_REQUEST_IID
- if: $CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH
variables:
SEMGREP_APP_TOKEN: $SEMGREP_APP_TOKEN
# To configure MR comments on gitlab.com, see <https://semgrep.dev/docs/semgrep-cloud-platform/gitlab-mr-comments/#enabling-gitlab-merge-request-comments>
GITLAB_TOKEN: $PAT
packages.lock.json 是什麼?
預設 C# Project 使用的 Package 都是寫在 .csproj,用 [PackageReference] 描述,參考如下:
...
<ItemGroup>
<PackageReference Include="Newtonsoft.Json" Version="13.0.3" />
<PackageReference Include="Serilog" Version="3.1.1" />
</ItemGroup>
...
每次建制(Build)專案的時候會執行 dotnet restore,會根據 PackageReference 找出 Project 需要的 Packages。注意上述的說明,是每次 Build Project 的時候,重新找出全部的 Packages。所以這「可能」發生相同的程式,一年前執行和現在執行取到不同的 Package,造成得到不同的結果。
packages.lock.json 就是要解決這個問題,確保每一次都一定抓到相同的 Packages。
為什麼 dotnet restore 會抓到不同的 packages
以下情況造成 dotnet restore 結果找出不同的 Packages 集合:
- nuget.config mismatch: 不同的 OS 上有不同的 nuget.config,造成下載到不同版本的 packages。
- Intermediate versions:
- Day 1,
<PackageReference Include="My.Sample.Lib" Version="4.0.0"/>Nuget 上有 4.1.0, 4.2.0, 4.3.0,dotnet restore 取得 4.1.0。 - Day 2,4.0.0 發佈到 Nuget。這時候執行 dotnet restore 會取得 4.0.0。
- Day 1,
- Package deletion: 如同 2. 的描述,當找不到對應的版本時,dotnet restore 會找最接近的版本,這也就導致抓到不同版本的 package。(Nuget.org 不允許刪除 package;但是 GitLab Package Registry 可以刪除)
- Floating versions:
<PackageReference Include="My.Sample.Lib" Version="4.*"/>這會抓取 4.x 的最新版本,造成 dotnet restore 會抓取到不同版本。 - Package content mismatch: 相同的版本號,但是 Package 內容卻不同。這可能發生 Nuget.config 有 2 個以上的來源,都有相同 Package、版本號,這造成 dotnet restore 抓到不同的版本。
Reference
https://devblogs.microsoft.com/nuget/enable-repeatable-package-restores-using-a-lock-file/
留言0
查看全部
你可能也想看
Google News 追蹤
/
大家現在出門買東西還會帶錢包嗎
鴨鴨發現自己好像快一個禮拜沒帶錢包出門
還是可以天天買滿買好回家(?
因此為了記錄手機消費跟各種紅利優惠
鴨鴨都會特別注意銀行的App好不好用!
像是介面設計就是會很在意的地方
很多銀行通常會為了要滿足不同客群
會推出很多App讓使用者下載
每次
今天學習Git 的第一步:
取得與建立項目 Getting and Creating Projects [1]。
之前提到「儲存庫 Repository」就是儲存所有「檔案 File」的地方。
在Git 的邏輯裡,儲存庫是要儲存所有的「快照 Snapshots」。
什麼是快照
套件(Package)是將程式或程式庫進行組織、分發和共享的一種方式。在軟體開發中,套件通常包含了相關的程式碼、資源文件和元數據,並提供了統一的名稱空間和版本管理。
在進行Electron 專案時,後端夥伴選擇將 sqlite 資料庫跟專案檔打包成一個執行檔。在開發過程中,前端的操作經常會更動到 db的資料,此時 Git 就會追蹤到 db 的變化,因此前端在推送檔案到遠端 repo 前,會需要將其移出 Git 追蹤範圍,該怎麼做?
本篇文章介紹如何使用Git Bash進行版本控制操作,包括創建repository、查看狀態、歷程以及加入暫存和提交暫存等操作。透過基本的Git指令,您可以更深入地瞭解Git工具的使用方法。
本章講述了C#開發中的程序集,命名空間和 NuGet 包管理器。程序集是 .NET 應用的基礎,命名空間用於組織和預防命名衝突,而 NuGet 用於管理 .NET 的外部庫和依賴項。
GitLab為程式碼管理倉庫,且從8.0開始提供CI/CD。
安裝
更新套件索引
sudo apt update
安裝postfix
sudo apt install ca-certificates curl openssh-server postfix
切換目錄
cd /t
※ 需要做版本備份時:
git init:初始化此資料夾,由git 開始追蹤版本控制。
git add:將檔案加入到暫存區。
git commit:把暫存區的內容提交到儲存庫。
git status:查看目前所有檔案的狀態。
git log:查看過去所有commit的記錄。
※ 需要做修
※ 簡短說明Git 和 Git Flow 是什麼?如何應用?
Git 是什麼?
Git是一個分散式版本控制軟體,能夠紀錄檔案的狀態變化,以及協調多個開發者之間的工作。它允許團隊成員協作編輯和管理項目的代碼庫,並且能夠追蹤文件的歷史變更、恢復到以前的版本、合併不同版本的代碼,以及解決代碼衝突等。
※ Git(四)
空的資料夾無法被加入 Git 進行版本控制,但這個資料夾如果又是很重要的資料夾,你會怎麼處理?
當空的目錄無法被加入 Git 進行版本控制時,有以下的做法可以解決:
在那個空目錄裡隨便放一個檔案就行了。
在這個資料夾中添加一個名為 .gitkeep 的空檔案,讓 Git 能
※ 關於Git (二)
請寫下從 Github 上複製一個專案下來,做一次遞交,然後推上去會用到的所有 git 指令。
複製專案(Clone) markdown-here:
git clone https://github.com/adam-p/markdown-here.git
如果在訊息
/
大家現在出門買東西還會帶錢包嗎
鴨鴨發現自己好像快一個禮拜沒帶錢包出門
還是可以天天買滿買好回家(?
因此為了記錄手機消費跟各種紅利優惠
鴨鴨都會特別注意銀行的App好不好用!
像是介面設計就是會很在意的地方
很多銀行通常會為了要滿足不同客群
會推出很多App讓使用者下載
每次
今天學習Git 的第一步:
取得與建立項目 Getting and Creating Projects [1]。
之前提到「儲存庫 Repository」就是儲存所有「檔案 File」的地方。
在Git 的邏輯裡,儲存庫是要儲存所有的「快照 Snapshots」。
什麼是快照
套件(Package)是將程式或程式庫進行組織、分發和共享的一種方式。在軟體開發中,套件通常包含了相關的程式碼、資源文件和元數據,並提供了統一的名稱空間和版本管理。
在進行Electron 專案時,後端夥伴選擇將 sqlite 資料庫跟專案檔打包成一個執行檔。在開發過程中,前端的操作經常會更動到 db的資料,此時 Git 就會追蹤到 db 的變化,因此前端在推送檔案到遠端 repo 前,會需要將其移出 Git 追蹤範圍,該怎麼做?
本篇文章介紹如何使用Git Bash進行版本控制操作,包括創建repository、查看狀態、歷程以及加入暫存和提交暫存等操作。透過基本的Git指令,您可以更深入地瞭解Git工具的使用方法。
本章講述了C#開發中的程序集,命名空間和 NuGet 包管理器。程序集是 .NET 應用的基礎,命名空間用於組織和預防命名衝突,而 NuGet 用於管理 .NET 的外部庫和依賴項。
GitLab為程式碼管理倉庫,且從8.0開始提供CI/CD。
安裝
更新套件索引
sudo apt update
安裝postfix
sudo apt install ca-certificates curl openssh-server postfix
切換目錄
cd /t
※ 需要做版本備份時:
git init:初始化此資料夾,由git 開始追蹤版本控制。
git add:將檔案加入到暫存區。
git commit:把暫存區的內容提交到儲存庫。
git status:查看目前所有檔案的狀態。
git log:查看過去所有commit的記錄。
※ 需要做修
※ 簡短說明Git 和 Git Flow 是什麼?如何應用?
Git 是什麼?
Git是一個分散式版本控制軟體,能夠紀錄檔案的狀態變化,以及協調多個開發者之間的工作。它允許團隊成員協作編輯和管理項目的代碼庫,並且能夠追蹤文件的歷史變更、恢復到以前的版本、合併不同版本的代碼,以及解決代碼衝突等。
※ Git(四)
空的資料夾無法被加入 Git 進行版本控制,但這個資料夾如果又是很重要的資料夾,你會怎麼處理?
當空的目錄無法被加入 Git 進行版本控制時,有以下的做法可以解決:
在那個空目錄裡隨便放一個檔案就行了。
在這個資料夾中添加一個名為 .gitkeep 的空檔案,讓 Git 能
※ 關於Git (二)
請寫下從 Github 上複製一個專案下來,做一次遞交,然後推上去會用到的所有 git 指令。
複製專案(Clone) markdown-here:
git clone https://github.com/adam-p/markdown-here.git
如果在訊息