- 래브라도 소개
- '래브라도랩스'와 '래브라도'
- 래브라도의 분석대상 소개
- 분석방법
- [소스코드] Git 리포 분석
- [소스코드] 소스아카이브 분석
- [소스코드] 패키지 분석
- [컨테이너] Docker 분석
- [바이너리] 바이너리 분석
- 분석결과 확인
- 검색기능
래브라도랩스:
고려대 보안연구소(CSSA)에서 원천 기술을 갖고 분사한 회사로서, 고객 소프트웨어의 사용 리스크를 정확히 탐지하고 관리해주는 최고의 소프트웨어 안전관리 플랫폼 제공을 목표로 하고 있습니다.
래브라도 OSS:
SBOM 기반의 OSS 공급망 안전 관리 솔루션.
- 래브라도 OSS v2.0 GS인증 1등급 획득 ▶ 뉴스 보기
-
오픈소스 소스파일
- ex1) github, gitlab 등 소스 리포지터리에 존재하는 프로젝트 소스 ▶ 예시: netty
- ex2) 버전 컨트롤을 사용하지 않는 프로젝트 소스 (.zip, .tar.gz) ▶ 예시: pcre
-
라이브러리
Language Package Manager Package Manager File Repository Java mvn, Gradle pom.xml, build.gradle Maven Repository Python pip requirements.txt PYPI Javascript NPM, yarn package.json NPM Ruby Ruby Bundler Gemfile RubyGems PHP Composer composer.json Packagist Swift, Objective-C CocoaPods Podfile CocoaPods Go Go Modules go.mod Go .NET Nuget, Paket project.json NuGet Gallery -
Docker Hub 의 컨테이너
- Docker Hub 에 검색되는 컨테이너 ex) ubuntu:18.04
-
바이너리
- zip, 7z, tar, wim, iso, xar, rar, gz, bz2, xz, rpm, deb, bin, sh
프로젝트 만들기 > 소스코드 > Source Repo
프로젝트 만들기 > 소스코드 > 아카이브 파일
프로젝트 만들기 > 소스코드 > 아카이브 파일
* 패키지매니저 파일로 분석 가능합니다.
| Language | 리포지터리 | 예제 라이브러리 | 버전 | 패키지매니저파일 |
|---|---|---|---|---|
| Java | Maven Repository | xerces:xercesImpl | 2.6.2 | pom.xml |
| Python | PYPI | GDAL | 1.7.1 | requirements.txt |
| Javascript | NPM | jquery | 1.8.2 | package.json |
| Ruby | RubyGems | bundler | 2.2.8 | Gemfile |
| PHP | Packagist | cnvs/canvas | v3.4.2 | composer.json |
| Swift, Objective-C | CocoaPods | nanopb | 0.3.901 | Podfile |
| Go | Go | github.com/ethereum/go-ethereum | v1.8.7 | go.mod |
| .NET | NuGet Gallery | FSharp.Core | 4.3.3 | project.json |
프로젝트 만들기 > 컨테이너 > 이미지명
시연 컨테이너: ubuntu:18.04
프로젝트 만들기 > 바이너리 > 바이너리 파일
시연 바이너리: ubuntu:18.04
프로젝트 만들기 > 바이너리 > 바이너리 파일
시연 바이너리: eclipse-jdt-4.19-3.fc34.noarch.rpm
- SBOM:
- 컴포넌트: 파일매칭, 라이브러리매칭
- 3-Layer 취약점:
- 함수 취약점
- 파일 취약점
- 컴포넌트 취약점: 파일매칭, 라이브러리매칭
시연
우측상단 "DB 검색"
시연: ex) Log4j 취약점: CVE-2021-44228