일반적인 프로세스에서 취약점을 감지할 경우, 스캔한 파일과 취약한 파일 간에 파일 match가 full인 항목을 찾습니다. VSF를 사용하면 한 단계 더 나아가 파일 match가 full이 아닌 경우에도 스캔한 코드에 포함된 취약한 코드 Snippet을 찾을 수 있습니다.
따라서 프로젝트를 취약하게 만드는 정확한 코드 라인을 찾을 수 있습니다.
작동 원리
VSF는 확장된 클라이언트 기능을 사용하여 취약한 Snippet 검사를 수행합니다. 이 기능은 클라이언트 및 WebApp에서 액세스할 수 있습니다. 코드는 FossID security volume과 비교됩니다. (security volume이 활성화되어야 함)
WebApp 사용
WebApp은 코드를 스캔하고 취약한 코드 Snippet을 찾기 위한 테스트 인터페이스를 제공합니다. 이 인터페이스를 사용하여 코드를 업로드하고 볼 수 있습니다.
이 기능은 User에게 VSF_ACCESS 권한을 추가하여 WebApp에서 액세스할 수 있습니다. 이 권한은 WebApp의 VSF 인터페이스에 대한 액세스 권한만 부여합니다. WebApp 또는 CLI를 사용하여 파일을 Scan할 때 실제로 VSF 결과를 얻으려면 VSF enabled cli token을 구성해야 합니다.
WebApp에서 VSF에 액세스할 때 Scan을 위해 소스코드를 업로드할 수 있는 초기 인터페이스가 제공됩니다.
스캔이 수행된 후 CVSS Base Score 심각도별로 그룹화된 개요 정보가 표시됩니다. (CVSS2 및 CVSS3 모두 고려됨)
각 CVE는 취약점 설명과 함께 나열됩니다. 항목을 확장하면 각 취약점이 존재하는 파일 목록을 볼 수 있습니다.
파일을 선택하면 해당 보안 메타데이터와 함께 발견된 모든 CVE에 대한 정보가 제공되고 security volume에서 발견된 코드와 로컬 코드를 강조 표시하는 매칭 항목이 표시됩니다.
클라이언트 사용
매개변수 --vsf를 사용하여 대상 코드의 취약점을 스캔할 수 있습니다. 이 작업을 수행하려면 시스템에 jq를 설치해야 합니다.
Debian 기반 시스템에 jq를 설치하려면 다음을 실행하십시오.
RedHat 또는 CentOS에 jq를 설치하려면 다음을 실행하십시오.
사용 예시
결과
하기는 가독성을 위해 축약된 결과입니다.
Snippet 및 하이라이팅 표시 가져오기
매치 결과에서 로컬 하이라이팅 또는 원격 하이라이팅 데이터를 가져와 CLI에서 하이라이팅하도록 할 수 있습니다. 먼저 다음 명령어를 사용하여 하이라이팅 정보를 추출합니다.
--highlight-input 명령줄 인수를 사용하여 fossid-cli에 대한 입력으로 하이라이팅 정보(위의 출력)를 사용합니다.
