使用 Amazon Inspector SBOM 生成器识别 Java 嵌套依赖

关键要点

在这篇文章中，我们将探讨如何应对识别 Java 嵌套依赖的挑战，分析 JAR 文件，确保应用程序的安全性和稳定性。

嵌套 Java 依赖的挑战

Java 应用中的嵌套依赖可能过时或包含已知漏洞，这些漏洞通常与 常见漏洞和暴露CVEs 有关。客户面临的一大问题是，在分析和分诊过程中，往往会忽略嵌套依赖，这可能导致将某些漏洞错误分类为误报，从而带来安全风险。

导致这一问题的因素有几个：

嵌套依赖概述

嵌套依赖是指应用程序所需的库或模块又依赖于其他库或模块。这在现代软件开发中十分常见，因为开发人员通常会利用第三方库来建立在现有解决方案的基础上，并从开源社区的集体知识中受益。

在 JAR 文件的上下文中，当一个 JAR 文件作为其结构的一部分包含其他 JAR 文件时，就会出现嵌套依赖。这些嵌套的文件也可能拥有自己的依赖，进一步依赖于其他库，形成一条依赖链。虽然嵌套依赖有助于模块化代码并促进代码复用，但如果管理不当，可能引入复杂性并增加安全漏洞的潜在风险。

了解 JAR 文件中使用的依赖关系的重要性

以下示例展示了 Java 应用的典型文件结构，说明嵌套依赖如何组织：

MyWebApp/ mywebapp10SNAPSHOTjar springboot302jar springbootautoconfigure302jar log4jtoslf4jjar

该结构包括以下文件和依赖关系：

这一结构表明 Java 应用可能包含嵌套依赖，其中 Log4J 嵌套在其他库中。具体的嵌套和依赖关系会根据项目中使用的具体库和版本有所不同。

MyFinanceApp/ myfinanceapp25jar jacksondatabind2910jar jacksoncore2910jar jacksonannotations2910jar

该结构包括以下文件和依赖关系：

了解嵌套依赖的重要性

了解 JAR 文件中使用的依赖关系有以下几方面的重要性：

工具现有的局限性

当分析 Java 应用的嵌套依赖时，现有工具往往无法有效地缩小这些依赖的确切位置。许多分析工具如 mvn dependencytree、OWASP DependencyCheck 等在定位嵌套依赖时存在诸多不足之处：

利用 Amazon Inspector SBOM 生成器解决工具局限性

Amazon Inspector SBOM 生成器Sbomgen 使Java应用中的嵌套依赖识别有了显著进展。虽然监控依赖的概念在软件开发中已相对成熟，但 AWS 针对软件构成的复杂性定制了这款工具。通过生成软件材料清单SBOM，Sbomgen 能够提供系统上安装的软件的详细清单，包括传统工具可能忽视的隐藏嵌套依赖。该功能丰富了现有工具集，为您提供更具操作性和自定义性的依赖结构理解。

Sbomgen 的工作原理是扫描包含已安装包信息的文件。在找到这些文件后，它提取重要数据包括包名、版本和其他元数据，并将这些元数据转换为 CycloneDX 格式的 SBOM，提供结构化和详细的依赖视图。

关于如何安装 Sbomgen，请参见 安装 Amazon Inspector SBOM 生成器Sbomgen。

Sbomgen 的一大关键特性是能提供每个依赖的明确路径。举例来说，对于编译后的 JAR 应用 MyWebApp001SNAPSHOTjar，用户可以运行以下 CLI 命令：

/inspectorsbomgen localhost path /path/to/MyWebApp001SNAPSHOTjar scanners javajar

输出结果将类似于以下内容：

json{ bomref comp11 type library name orgapachelogginglog4j/log4jtoslf4j version 2190 hashes [ { alg SHA1 content 30f4812e43172ecca5041da2cb6b965cc4777c19 } ] purl pkgmaven/orgapachelogginglog4j/log4jtoslf4j@2190 properties [ { name amazoninspectorsbomgeneratorsourcepath value /tmp/MyWebApp001SNAPSHOTjar/BOOTINF/lib/springboot302jar/BOOTINF/lib/springbootautoconfigure302jar/BOOTINF/lib/logbackclassic145jar/BOOTINF/lib/logbackcore145jar/BOOTINF/lib/log4jtoslf4j2190jar/METAINF/maven/orgapachelogginglog4j/log4jtoslf4j/pomproperties } ]}

在此输出中，amazoninspectorsbomcollectorpath 属性尤为重要。它提供了指定依赖此处为 log4jtoslf4j在应用程序结构中的确切位置路径。这一细节对以下方面至关重要：

精确位置识别 它帮助您快速准确地识别每个依赖的确切位置，特别是那些难以定位的嵌套依赖。有效的风险管理 当您知道依赖的确切路径时，可以更高效地评估和解决与这些依赖相关的安全风险。节省时间和资源 减少手动追踪和分析依赖所需的时间和资源，简化漏洞管理流程。增强可视性和透明性 促进对应用程序依赖结构的更清晰理解，改进整体管理和维护工作。全面的包信息 Sbomgen 提供的详细包信息，包括名称、版本、哈希和 包 URL，帮助您深入理解每个依赖的详细信息，为精确的漏洞追踪和软件完整性验证提供支持。

缓解脆弱依赖

一旦识别出 Java JAR 文件中的嵌套依赖，您应验证这些依赖是否过时或存在漏洞。Amazon Inspector 可以通过以下方式协助您实现此目标：

通过将 Amazon Inspector 集成到软件开发生命周期中，您可以连续监控 Java 应用中的脆弱嵌套依赖，并采取必要措施确保应用程序的安全性和合规性。

结论

为确保 Java 应用的安全性，您必须有效管理嵌套依赖。Amazon Inspector 提供了一种自动化和高效的方法来发现和缓解 JAR 文件中可能存在的脆弱依赖。通过利用 Amazon Inspector 的功能，您可以提升 Java 应用的安全态势，并确保其符合最佳实践。

如对本文有反馈，请在评论部分提交您的意见。如果您对本文有疑问，请 联系 AWS 支持。

Chi Tran

Chi 是一名安全研究员，帮助确保 AWS 的服务、应用和网站符合最高安全标准。他是 Amazon Inspector 的主题专家，并热心协助客户解决高级问题和用例。Chi 对信息安全充满热情，涵盖 API 安全、渗透测试他拥有 OSCP、OSCE、OSWE、GPEN 认证、应用安全和云安全等领域。

标签 Amazon Inspector、log4j、安全博客