TCA-Armory-C2
工具介绍
TCA-Armory-C2 是 TCA 自研商业工具,是一款多语言的依赖组件漏洞分析工具,能输出项目依赖的第三方组件存在的漏洞。
| 自定义规则 | 自定义框架适配 |
|---|---|
| ✅ | ❌ |
自定义规则
适用场景
检查项目中某一依赖组件的版本号是否小于指定版本,例如 Log4j 组件是否在 2.17.0 版本以下。
检查项目中是否使用了指定框架,例如是否使用了 VUE 框架。
以下是自定义规则流程:
点击添加规则
访问 TCA 平台工具管理页面,找到 TCA-Armory-C2 工具并进入自定义规则列表页,点击添加规则按钮。
填写规则信息
按业务需求设计规则并配置规则信息,配置完毕后点击确认按钮,完成规则创建。
规则参数配置说明
需根据规则参数配置说明设计规则。
参数格式类似 ini 的格式,即
key = value的格式,一行是一个参数。[必选] category 参数 :用于指定规则的类型。目前支持以下类型:
CheckVersion:检查项目中某一依赖组件的版本号是否小于指定版本,如:
category=CheckVersion。DetectFramework:检查项目中是否使用了指定框架,如:
category=DetectFramework。
[必选] pattern 参数:采用正则表达式,用于匹配包管理器中的组件名称。如:
pattern=(apache.logging.log4j:log4j-core)。建议先测试好正则表达式是否正确,正则表达式测试网站推荐:http://tool.oschina.net/regex。
[可选] version 参数:需已配置
category=CheckVersion,用于指定目标依赖组件的最小修复版本号。
规则示例:
用于检测项目中依赖组件 Log4j 的版本号是否小于 2.17.0 版本,是则会检出风险。
category=CheckVersion pattern=(apache.logging.log4j:log4j-core) version=2.17.0使用自定义规则
进入团队/项目分析方案,在分析方案规则配置中点击添加规则按钮,搜索并选中该规则,完成规则添加。