MASTG-TEST-0273: Identificar Dependencies com Vulnerabilities conhecidas por meio da verificação de Dependency Managers Artifacts
Visão Geral¶
Neste caso de teste, estamos identificando Dependencies com Vulnerabilities conhecidas em iOS. As dependências são integradas por meio de gerenciadores de dependência, e pode haver um ou mais deles sendo utilizados. Portanto, precisamos de todos os artefatos relevantes criados por eles para analisá-los com uma ferramenta de varredura SCA.
Passos¶
-
Para fazer isso da maneira mais eficiente, você precisará perguntar aos desenvolvedores quais gerenciadores de dependência estão sendo usados e solicitar que compartilhem o(s) arquivo(s) relevante(s) criado(s) por eles. Consulte Análise de Composição de Software (SCA) de Dependências iOS por meio da Varredura de Artefatos do Package Manager para obter uma visão geral dos gerenciadores de pacotes e solicite os arquivos relevantes.
-
Execute uma ferramenta de análise SCA, como Verificação de Dependências (dependency-check), no(s) arquivo(s) criado(s) pelo(s) gerenciador(es) de dependência e procure pelo uso de dependências vulneráveis.
Observação¶
O output deve incluir o nome da dependência e os identificadores de CVE para qualquer dependência com vulnerabilidades conhecidas.
Avaliação¶
O caso de teste falha se você conseguir encontrar dependências com vulnerabilidades conhecidas.
Demos¶
MASTG-DEMO-0052: Verificando Artefatos do Package Manager em Busca de Dependências iOS Inseguras MASTG-DEMO-0053: Identificando Dependências Inseguras no SwiftPM através da criação de SBOM