#Анализ достижимости уязвимостей

Консольный агент Johnny умеет анализировать уязвимости на достижимость из исходного кода. Для использования данной функции необходимо задать два параметра:

• cg-path — путь к файлу графа вызовов: для java, python, go, kotlin и csharp (C#) — формат Svace; для javascript — JSON, сформированный Joern (см. раздел ниже);
• cg-lang — язык программирования, для которого был построен граф вызовов. Поддерживаются значения java, python, go, kotlin, csharp (C#) и javascript.

#Построение графа вызовов

#С использованием инструмента Svace

1. Скачать модуль Svace https://REGISTRY_USERNAME:REGISTRY_PASSWORD@REGISTRY_URL/#browse/browse:files:codescoring%2Fsvace-callgraph

2. Получить токен пользователя в CodeScoring (по ссылке{platform-url}/cabinet/profile)

3. Запустить Svace на исходном коде проекта. Этот этап лучше делать в рамках или после шага сборки в конвейере.

   1. Инициализация

      svace init
   2. Контролируемая сборка

      svace build <build command>
      Пример для проектов на языке Java:

      svace build mvn clean package
      Пример на языке Go:

      svace build go build -a main.go
      Пример на языке Python:

      svace build --python .
      Пример на языке Kotlin:

      svace build ./gradlew clean build
      Пример на языке C#:

      svace build dotnet build
   3. Анализ результатов и построение графа вызовов

      svace analyze --build-call-graph-only --license-server-url "http(s)://<codescoring_host>" --license-server-token "<токен из п.2>"

4. В случае успешного выполнения всех шагов в директории проекта появится файл .svace-dir/analyze-res/call-graph-results/<project_name>-graph-order.json, содержащий граф вызовов.

   Сохранение файла

   До версии Svace 5.0.260311 файл с графом вызовов сохранялся в папку .svace-dir/analyze-res/call-graph

5. Запустить сканирования с помощью Johnny, например:

   johnny-linux-amd64 scan dir . --api_url "http(s)://<codescoring_host>" --api_token "<токен из п.2>"  --cg-path .svace-dir/analyze-res/call-graph-results/<project_name>-graph-order.json  --cg-lang java

#С использованием Joern (JavaScript)

Для языка JavaScript граф вызовов для анализа достижимости строится с помощью Joern. В каталоге с исходным кодом проекта выполните:

joern-parse .
joern-slice usages cpg.bin

Команда joern-parse создаёт CPG в файле cpg.bin. Команда joern-slice usages записывает результат в JSON. По умолчанию файл сохраняется как slices.json в текущей папке. Путь к этому файлу передайте в параметре --cg-path при запуске Johnny. Имя выходного файла можно задать опцией -o у joern-slice; см. документацию Joern по CPG slicing.

Пример запуска сканирования:

johnny-linux-amd64 scan dir . --api_url "http(s)://<codescoring_host>" --api_token "<токен из личного кабинета>" --cg-path <путь_к_json_joern> --cg-lang javascript

#Удаленный анализ

В версии Svace 5.0.260311 появилась возможность использования сервера удалённого анализа. Это позволяет вынести построение графа вызовов за пределы CI/CD пайплайна, снизить нагрузку на сборочные серверы и оптимизировать процесс непрерывной интеграции.

#Этапы настройки сервера

1. Указать переменные окружения

SVACE_LIC_SERVER_URL=http(s)://<codescoring_host>
SVACE_LIC_SERVER_TOKEN=<токен CodeScoring>

2. Инициализация

svace server init

3. Запустить сервер

svace server start

4. Отправить проект на анализ. После настройки сервера не нужно указывать параметры лицензии --license-server-url и --license-server-token.

   svace remote --host <адрес сервера> analyze --build-call-graph-only

   При необходимости можно добавить параметры --port, --login, --pass и т.д.

Подробнее с настройками сервера удалённого анализа можно ознакомиться в документации Svace.

#Получение результатов

В таблице уязвимостей с найденными достижимыми вызовами будет проставлена отметка в соответствующем столбце:

В конце будет доступна ещё одна таблица с перечислением деревьев вызовов для уязвимостей:

Пример для более крупного проекта:

Если был указан флаг --save-results, то результаты достижимости будут в колонке "Достижимо" таблицы уязвимостей: