Jak działa wykrywanie podatności w systemie YetiForce?

Narzędzie sprawdza czy w bibliotekach zewnętrznych znajdują się podatności, które należy usunąć. Funkcjonalność wymaga połączenia z internetem i przesyła informacje z pliku composer.lock do usługi zewnętrznej. Wbudowany mechanizm bezpieczeństwa w obecnej wersji łączy się z dedykowaną usługą YetiForce Security (https://security.yetiforce.com).

Opis

Detektor podatności obecnie sprawdza na ogólnoświatowej bazie CVE:

  • biblioteki zewnętrzne używane w CRM (biblioteki napisane w PHP)
  • podatności dla używanej wersji PHP
  • podatności dla serwera WWW (apache, nginx)
  • podatności dla bibliotek na serwerze: OpenSSL
  • podatności dla silnika SQL (MySql, MariaDB)
Docelowo system będzie potrafił weryfikować wszystkie biblioteki zewnętrzne niezależnie od technologii, oraz mamy w planach wykrywanie podatności w aplikacjach zainstalowanych na serwerze np. imap, pgp, itp.

Pomimo, że aplikacja potrafi domyślnie weryfikować tylko część bibliotek, to producent przed opublikowaniem stabilnej wersji sprawdza podatności we wszystkich bibliotekach za pomocą takich narzędzi jak https://snyk.io/, https://security.symfony.com/https://depfu.com/, https://blackducksoftware.com/https://david-dm.org/, https://sonarcloud.io/ oraz wielu innych aplikacji.

Panel podatności

Wyszukiwanie podatności jest wykonywane automatycznie po wejściu w narzędzie (Konfiguracja systemu > Bezpieczeństwo > Wykrywanie podatności), system wysyła do https://security.yetiforce.com następujące informacje:

  • app-id CRM-a - usługa dostępna tylko dla systemów zarejestrowanych
  • wersja PHP
  • informacje o systemie operacyjnym (https://www.php.net/manual/en/function.php-uname.php)
  • informacje o silniku SQL
  • nazwy, wersje, czas aktualizacji  bibliotek zewnętrznych używanych w CRM

W odpowiedzi otrzymujemy listę wykrytych podatności wraz ze szczególowymi informacjami o nich:
2021-06-24_09-20-37.png

W przypadku braku podatności jest komunikat

2021-06-21_13-36-04.png

 YetiForce Security Dependency Check

Mechanizm wykrywania podatności security.yetiforce.com działa na oficjalnej bazie podatności dostępnej na stronie https://github.com/FriendsOfPHP/security-advisories która bazuje na CVE

Ostrzeżenia systemowe

Weryfikacja podatności odbywa się również w panelu „Ostrzeżenia systemowe” dzięki czemu system cyklicznie sprawdza luki w bezpieczeństwie i informuje administratorów systemu o potencjalnym zagrożeniu które należy zweryfikować.

2021-02-22_10-01-30.png