Le moderne applicazioni software non sono mai manufatti sviluppati in modo autoconsistente, ma fanno uso di numerose componenti di terze parti: librerie Open Source o a pagamento che offrono specifici servizi o funzionalità, framework aggiuntivi che arricchiscono i linguaggi di programmazione di funzioni che riguardano l’accesso ai dati, l’interfaccia utente o altre funzionalità che risolvono problematiche comuni quando si costruisce una nuova applicazione. Utilizzare queste componenti comporta però alcuni rischi: le componenti possono contenere vulnerabilità di sicurezza note più o meno gravi, oppure richiedere il rispetto di norme legate al tipo di licenza.
Con il tempo, inoltre, queste componenti invecchiano ed escono nuove versioni più aggiornate che spesso risolvono numerosi problemi segnalati sulle versioni precedenti.
Quando viene segnalata una nuova vulnerabilità su una componente utilizzata, oppure va sostituita perché ormai obsoleta, diventa talvolta difficile capire dove questa componente era referenziata e usata. Soprattutto nel caso di applicazioni di grandi dimensioni, che sono mantenute da molto tempo e da diversi fornitori o da personale che è stato sostituito, non è chiaro dove e come intervenire.
Analizzando l’applicazione con CAST Imaging e attivando una sottoscrizione su CAST Highlight per OSS, si ha a disposizione uno strumento estremamente potente per intervenire e risolvere il problema velocemente.
CAST Imaging può essere utilizzato per numerose casistiche differenti, e ha una guida che indirizza passo passo verso la creazione del report/vista richiesto. In questo caso basta effettuare le scelte seguenti:
Ogni scelta effettuata è guidata da menù contestuali a risposta multipla. Una volta effettuate tutte le selezioni, viene visualizzata la seguente vista:
Viene riportata la lista delle componenti di terze parti per cui CAST Imaging ha individuato un riferimento o ha rilevato la presenza fisica di un qualche file all’interno del codice sorgente (fingerprint). Per ciascun componente è indicato oltre al nome, la versione utilizzata, la data di rilascio della versione, il Gap rispetto alla data attuale, le vulnerabilità di sicurezza CVE note per quella versione (classificate come Extreme/High/Mediun/Low), la versione più recente della componente che risolve le vulnerabilità, il numero di release per anno della componente, i file dove è stata trovata la dipendenza.
Sul lato destro della vista viene mostrato un grafo che dettaglia la situazione della componente selezionata. Nel caso specifico vediamo che la componente “express” è referenziata per la versione 4.17.1 che contiene 1 CVE High e 2 CVE Medium. La versione andrebbe sostituita con la 4.17.3 che è considerata sicura. Nel grafo vediamo che la componente è referenziata 5 volte da 7 oggetti che appartengono al layer di NodeJS.
Premendo sul bottone “Investigate”, si apre una vista di ulteriore dettaglio:
Da questa vista possiamo vedere ciascuno dei riferimenti presenti nel codice sorgente alla componente “express”, possiamo avere il path di ciascuno dei file che contengono la reference e vedere il codice sorgente che va modificato.
La vista può essere salvata e condivisa con gli sviluppatori, possono essere inserite delle note e tag sugli oggetti interessati dall’intervento:
Il portale Web di CAST Imaging permette di visualizzare tutte le informazioni e le viste utili per effettuare l’intervento chirurgico di sostituzione delle componenti di terze parti. Naturalmente, disponendo della sottoscrizione a CAST Highlight è sempre possibile accedere al portale di CAST Highlight per avere ulteriori informazioni relative a OSS a livello anche di portfolio applicativo:
Per una documentazione approfondita sul funzionamento della nuova estensione “Highlight 2 MRI” potete consultare la documentazione online:
https://doc.castsoftware.com/technologies/multi/com.castsoftware.highlight2mri/1.0/
SHARE