透過 Audit.NET 及 DevAudit 來掃描 .NET 專案中套件是否有資安問題

前言

在 OWASP Top 10 2017 中 A9 是 Using Components with Known Vulnerabilities。
所以我們需要常常檢視一下專案中使用到的套件是否有什麼資安問題,是否需要更新。
因此跟大家介紹 Audit.Net 這個 Visual Studio extension 及 OSSIndex/DevAudit Command 工具。

實作

Audit.NET

使用 Audit.Net 時,從 Visual Studio Marketplace 下載安裝後,重新啟動 Visual Studio 後,在專案上按右鍵,選取 Audit NuGet Packages… 就可以逕行掃描,結果就會在錯誤清單中。

如果需要產生報表或是跟 Jenkins 整合,則可以使用 OSSIndex/DevAudit

DevAudit

OSSIndex/DevAudit 是一個跨平台的工具,可以從 DevAudit/Release 下載解壓縮後,直接開啟 Command 視窗執行,例如要掃 NuGet 套件,

1
2
3

devaudit nuget -f "你的專案\packages.config"

它就會讀取專案的 Package 送到 Server 端驗證是否有什麼套件需要更新,如下圖,

有了這些資訊後,就可以參考它的內容來進行升級或是調整系統 ^_^

參考資源

Audit.Net
OSSIndex/DevAudit

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw