search

diggsweden / DCAT-AP-SE-Processor

GNU General Public License v3.0
9 stars 8 forks source link

Förvaltning av gamla beroenden #18

Closed tomppa-p closed 2 months ago

tomppa-p commented 1 year ago

What happened?

Beroenden som används i applikationen är utdaterade och gör att scanningsprogram som Xray rapporterar sårbarheter som har dykt upp i de beroendena. Ex. så används version 1.61 av Dom4j som har de kända sårbarheterna CVE-2020-10683 och CVE-2018-1000632. Finns det någon plan för hur förvaltning av mjukvaran ska göras? Kommer det göras uppdateringar i repot med senare versioner av beroenden?

Steps To Reproduce

Sårbarheterna borde rapporteras vid scanning med Xray eller liknande analysprogram.

What did you expect?

Vi skulle önska senare versioner av de beroenden som används.

Version

No response

Optional Screenshots

No response

Relevant log output

No response

fredriknordlander commented 1 year ago

Tjena, tack för info! Tanken är att det ska göras uppdateringar i repot med senare versioner av beroenden. Kikar på det och återkopplar 👍

tomppa-p commented 1 year ago

Super!

halge commented 9 months ago

@fredriknordlander hur går det, vi använder er fork o security larmar hög)?

fredriknordlander commented 9 months ago

Tjena, runnit lite vatten sedan denna rapporterades, men vi ska planera in och åtgärda under ngn av kommande sprintar.

halge commented 9 months ago

@fredriknordlander tjena, när fixas det har ni tidsram?

JessicaPry commented 9 months ago

Det finns ingen mottagare till mejlet du skickade.

Det finns tre vanliga orsaker till att ett mejl inte kommer fram:

  1. Du har inte skrivit rätt mejladress. Våra adresser skrivs så här: fornamn.efternamn(at)arbetsformedlingen.se. Ibland kan det också finnas en bokstav mellan för- och efternamnet eller ett mellannamn i adressen. Kontrollera namnet på personen du vill skriva till.

  2. Personen du har mejlat jobbar inte längre hos oss.

  3. Mejladressen går till en brevlåda som inte finns längre.

Många svar hittar du på arbetsformedlingen.se. Där finns även information om hur du lättast kommer i kontakt med oss.

Observera att du inte kan svara på det här mejlet.

Hälsningar Arbetsförmedlingen

Meddelande: B651a80470000.000000000001.0003.mml Från: @. Till: @. Ämne: Re: [diggsweden/DCAT-AP-SE-Processor] Förvaltning av gamla beroenden (Issue #18)

halge commented 9 months ago

@JessicaPry so how is it with this issue? Who will fix it if Fredrik is gone?

JessicaPry commented 9 months ago

Det finns ingen mottagare till mejlet du skickade.

Det finns tre vanliga orsaker till att ett mejl inte kommer fram:

  1. Du har inte skrivit rätt mejladress. Våra adresser skrivs så här: fornamn.efternamn(at)arbetsformedlingen.se. Ibland kan det också finnas en bokstav mellan för- och efternamnet eller ett mellannamn i adressen. Kontrollera namnet på personen du vill skriva till.

  2. Personen du har mejlat jobbar inte längre hos oss.

  3. Mejladressen går till en brevlåda som inte finns längre.

Många svar hittar du på arbetsformedlingen.se. Där finns även information om hur du lättast kommer i kontakt med oss.

Observera att du inte kan svara på det här mejlet.

Hälsningar Arbetsförmedlingen

Meddelande: B651c37850000.000000000001.0001.mml Från: @. Till: @. Ämne: Re: [diggsweden/DCAT-AP-SE-Processor] Förvaltning av gamla beroenden (Issue #18)

halge commented 9 months ago

@tomppa-p @matthiaspalmer @jenniferskoglund someone, please, reply how is it going?

JessicaPry commented 9 months ago

Det finns ingen mottagare till mejlet du skickade.

Det finns tre vanliga orsaker till att ett mejl inte kommer fram:

  1. Du har inte skrivit rätt mejladress. Våra adresser skrivs så här: fornamn.efternamn(at)arbetsformedlingen.se. Ibland kan det också finnas en bokstav mellan för- och efternamnet eller ett mellannamn i adressen. Kontrollera namnet på personen du vill skriva till.

  2. Personen du har mejlat jobbar inte längre hos oss.

  3. Mejladressen går till en brevlåda som inte finns längre.

Många svar hittar du på arbetsformedlingen.se. Där finns även information om hur du lättast kommer i kontakt med oss.

Observera att du inte kan svara på det här mejlet.

Hälsningar Arbetsförmedlingen

Meddelande: B651c38a50000.000000000001.0004.mml Från: @. Till: @. Ämne: Re: [diggsweden/DCAT-AP-SE-Processor] Förvaltning av gamla beroenden (Issue #18)

halge commented 9 months ago

@jonassodergren i ask you to help to contact someone.

JessicaPry commented 9 months ago

Det finns ingen mottagare till mejlet du skickade.

Det finns tre vanliga orsaker till att ett mejl inte kommer fram:

  1. Du har inte skrivit rätt mejladress. Våra adresser skrivs så här: fornamn.efternamn(at)arbetsformedlingen.se. Ibland kan det också finnas en bokstav mellan för- och efternamnet eller ett mellannamn i adressen. Kontrollera namnet på personen du vill skriva till.

  2. Personen du har mejlat jobbar inte längre hos oss.

  3. Mejladressen går till en brevlåda som inte finns längre.

Många svar hittar du på arbetsformedlingen.se. Där finns även information om hur du lättast kommer i kontakt med oss.

Observera att du inte kan svara på det här mejlet.

Hälsningar Arbetsförmedlingen

Meddelande: B651c391a0001.000000000001.0001.mml Från: @. Till: @. Ämne: Re: [diggsweden/DCAT-AP-SE-Processor] Förvaltning av gamla beroenden (Issue #18)

fredriknordlander commented 9 months ago

@halge - sorry för radiotystnaden. Tyvärr finns det ingen spikad tidsram ännu. Teamet som ska åtgärda dessa delar har ej kommit på plats, så det har inte gått att planera in arbetet. Dock är det topp prio att åtgärda dessa sec.issues.

JessicaPry commented 9 months ago

Det finns ingen mottagare till mejlet du skickade.

Det finns tre vanliga orsaker till att ett mejl inte kommer fram:

  1. Du har inte skrivit rätt mejladress. Våra adresser skrivs så här: fornamn.efternamn(at)arbetsformedlingen.se. Ibland kan det också finnas en bokstav mellan för- och efternamnet eller ett mellannamn i adressen. Kontrollera namnet på personen du vill skriva till.

  2. Personen du har mejlat jobbar inte längre hos oss.

  3. Mejladressen går till en brevlåda som inte finns längre.

Många svar hittar du på arbetsformedlingen.se. Där finns även information om hur du lättast kommer i kontakt med oss.

Observera att du inte kan svara på det här mejlet.

Hälsningar Arbetsförmedlingen

Meddelande: B651c3de70000.000000000001.0004.mml Från: @. Till: @. Ämne: Re: [diggsweden/DCAT-AP-SE-Processor] Förvaltning av gamla beroenden (Issue #18)

janderssonse commented 7 months ago

Hejsan, jag fick frågan av Fredrik och kollade närmare på denna. Vi har som standard GitHubs egna säkerhetsverktyg påslagna - dependabot (SCA-verktyg), secrets, codeql (SAST-verktyg) etc för våra repositorys numer.

SCA-verktyget (dependabot) kunde inte hitta just det felet och beroendet som pekas ut i denna. Jag kikade om beroendet återfinns inte heller i GitHubs dependecygraph för projektet, ej i den heller. Provade också SCA-dependabot-inställningarna i en tom fork av projektet för att se om det var något knas med själva inställningarna för projektet. Inget funnet. Kan det vara en äldre version än den i main som skannats av Xray?

Jag körde också sidokoll med senaste NVD-informationen utanför GitHub's verktyg och då hittade OWASPs SCA-verktyg https://jeremylong.github.io/DependencyCheck/dependency-check-maven/ några criticals som inte GitHubs egna verktyg fann. Alla dess criticals verkar lösa sig om man uppgraderar spring boot-versionen.

Här ser vi att man kan få lite olika resultat beroende på vilket verktyg man använder helt enkelt också.

Så det här är eg två frågor : finns de specifika CVE's som pekas ut jiran kvar i senaste main, och är critical ? Nej inte vad githubs verktyg eller OWASP säger. Vill man använda kompletterande verktyg för säkerhet i framtiden förutom githubs för att komplettera, eftersom andra CVE's kan hittas då? Kanske?

Så här är mina förslag:

halge commented 7 months ago

desutom docker build . falleras (man kan bara använda :latest tag fri https://github.com/diggsweden/DCAT-AP-SE-Processor/issues/26):

Step 9/19 : FROM cgr.dev/chainguard/jdk:openjdk-jre-11-20221109
manifest for cgr.dev/chainguard/jdk:openjdk-jre-11-20221109 not found: manifest unknown: Unknown manifest
janderssonse commented 6 months ago

desutom docker build . falleras (man kan bara använda :latest tag fri #26):

Step 9/19 : FROM cgr.dev/chainguard/jdk:openjdk-jre-11-20221109
manifest for cgr.dev/chainguard/jdk:openjdk-jre-11-20221109 not found: manifest unknown: Unknown manifest

@halge Just dockerbuilden är löst här, https://github.com/diggsweden/DCAT-AP-SE-Processor/pull/29 vill du bygga en egen innan den blivit inmergad bör du kunna använda den dockerfilen.

ayeshabhatti78 commented 6 months ago

Jag har nu lyckats uppgradera spring version till 3.2.0 och smoke test typ fungerar. Alla spring CRITICALS är borta.

Snakeyaml också gick att uppgradera.

Enda som är kvar är det felet som finns i issuen. Som Josef har också skrivit, det är lite lurigt. OWASP verktyget har spårat den till hibernate-core. Jag har kollat för nyare versioner men hittade ingen på själva som finns i projekt, har provat med en liknade men felet finns kvar. Den används inte direkt från kod. Utan den tillgängliggör json types till hibernate om den lyckas laddas innan eller samtidigt som hibernate. Jag tror att det är därför den är svårt hittad.

Nu har jag pratat med Jonas och vi har kommit överens att jag committar till två olika feature branches. En med uppdaterat spring samt snakeyaml och andra där hinernate-core är också borta. Vi kör acceptans test och gå darifrån. Uppdaterar issue igen när jag är klar med committen.

ayeshabhatti78 commented 6 months ago

Uppgraderat spring boot mm: 18-förvaltning-av-gamla-beroenden Uppgraderat spring boot mm samt tog bort hibernate-json-contributor: 18-förvaltning-av-gamla-beroenden-1

halge commented 6 months ago

@janderssonse @ayeshabhatti78 inform when those changes are in main, please.

halge commented 5 months ago

@janderssonse @ayeshabhatti78 when main branch will be updated? what is the plan?

janderssonse commented 5 months ago

Hej! @halge Jag har själv inga mergemandat för detta projekt, men ska kolla med med min kollega m.fl vad status är på dessa alt. om jag skulle kunna få mergemandat för enklare fixar som säkerhet o liknande.

fredriknordlander commented 5 months ago

Hej. @halge Vi ska börja acceptanstesta de fixes vi gjort för denna issue och några till. Jobbet drar igång till veckan. Efter detta, förutsatt att det fungerar som tänkt, så kommer vi att merga in detta på main.

tomppa-p commented 2 months ago

Hej igen! Hur är status på det här nu? När tror ni att ni kommer kunna merga in detta på main?