信创认证.md

信创认证

资源

1
2
3
4
5
6
7
machine:
10.8.10.206
7!-r{5HU[b

vm:
192.168.122.24
root/123.com/456

devkit 软件安装部署

安装依赖系统工具

安装 devkit

浏览器工作模式安装包下载地址

安装指导文档

修改 ip port

nginx 修改
1
2
3
# /opt/ 作为安装目录
# 找到 nginx 目录 的 devkit_xxx.conf 修改 server 8086 监听地址
# /usr/bin/systemctl restart devkit_nginx
ssh 隧道转发流量
1
2
3
4
ssh -L 0.0.0.0:8086:192.168.122.24:8086 root@10.8.10.206

# 服务监听 `https://10.8.10.206:8086/`
# 帐号密码 : devadmin 123.com/456

迁移工具使用

  • 源码扫描(源码 tar gz 上传)
  • 软件扫描(安装包 tar gz 上传)

确定扫描源码组件

  • sc
  • sv
  • installer
  • api-gov
  • webserver
  • nexus
  • dam
  • nuclei
  • envoy
  • polycube
  • sx-ha
  • mysql
  • mongodb
  • redis
  • nsq
  • etcd
  • hyperscan
  • kube-apiserver
  • kubectl

扫描工具原理分析

image-20240119175222574

通过构建文件内容扫描关键字匹配,如 -l 参数,arm dpkg x86 ,软件扫描,大概是扫描 so 文件是否兼容

问题

  • libdflags.so 依赖
1
从红框有半部分的内容可以确认用户提供分析的待认证应用中所包含的依赖文件待替换信息。此部分内容不需要做前后严格对比,只需要保证前后两次分析中每次“依赖文件总数”、“可兼容替换”、“待验证替换”这三项不全为0即可。如果是第一次分析有报告,第二次分析时提示“您指定的分析路径/分析包中没有需要迁移的内容”,则结果也可以判定为通过。
1
从红框有半部分的内容可以确认用户提供分析的待认证应用中所包含的依赖文件待替换信息。此部分内容不需要做前后严格对比,只需要保证前后两次分析中每次“依赖文件总数”、“源码迁移人力”这两项不全为0即可。如果是第一次分析有报告,第二次分析时提示“源码迁移成功:您指定的分析路径/分析包中没有需要迁移的内容”,则结果也可以判定为通过。

是否扫描工具中有代码泄露风险

验证扫描是否依赖公网环境(结论:确实需要公网)

1
2
3
4
5
6
[root@localhost ~]# sudo iptables -P INPUT ACCEPT
[root@localhost ~]# sudo iptables -P FORWARD ACCEPT
[root@localhost ~]# sudo iptables -P OUTPUT ACCEPT
[root@localhost ~]# sudo iptables -A INPUT -s 192.168.122.0/24 -j ACCEPT
[root@localhost ~]# sudo iptables -A OUTPUT -d 192.168.122.0/24 -j ACCEPT
[root@localhost ~]# sudo iptables -A OUTPUT ! -d 192.168.122.0/24 -j DROP
1
2
3
4
5
6
7
[root@localhost ~]# curl -v https://www.baidu.com
*   Trying 183.2.172.42:443...
*   Trying 240e:ff:e020:9ae:0:ff:b014:8e8b:443...
* Immediate connect fail for 240e:ff:e020:9ae:0:ff:b014:8e8b: 网络不可达
*   Trying 240e:ff:e020:966:0:ff:b042:f296:443...
* Immediate connect fail for 240e:ff:e020:966:0:ff:b042:f296: 网络不可达
^C
1
2
3
4
5
6
7
8
9
10
10:53:46.738577 IP localhost.localdomain.34448 > ecs-124-70-125-167.compute.hwclouds-dns.com.https: Flags [S], seq 851829615, win 64240, options [mss 1460,sackOK,TS val 953561537 ecr 0,nop,wscale 7], length 0
10:53:46.784314 IP localhost.localdomain.34448 > ecs-124-70-125-167.compute.hwclouds-dns.com.https: Flags [.], ack 2880648456, win 502, options [nop,nop,TS val 953561583 ecr 3062878975], length 0
10:53:46.785374 IP localhost.localdomain.34448 > ecs-124-70-125-167.compute.hwclouds-dns.com.https: Flags [P.], seq 0:517, ack 1, win 502, options [nop,nop,TS val 953561584 ecr 3062878975], length 517
10:53:46.832766 IP localhost.localdomain.34448 > ecs-124-70-125-167.compute.hwclouds-dns.com.https: Flags [.], ack 3399, win 491, options [nop,nop,TS val 953561632 ecr 3062879024], length 0
10:53:46.833224 IP localhost.localdomain.34448 > ecs-124-70-125-167.compute.hwclouds-dns.com.https: Flags [P.], seq 517:523, ack 3399, win 491, options [nop,nop,TS val 953561632 ecr 3062879024], length 6
10:53:46.918337 IP localhost.localdomain.34448 > ecs-124-70-125-167.compute.hwclouds-dns.com.https: Flags [P.], seq 523:597, ack 3399, win 501, options [nop,nop,TS val 953561717 ecr 3062879110], length 74
10:53:46.963808 IP localhost.localdomain.34448 > ecs-124-70-125-167.compute.hwclouds-dns.com.https: Flags [P.], seq 597:833, ack 3399, win 501, options [nop,nop,TS val 953561763 ecr 3062879155], length 236
10:53:46.963999 IP localhost.localdomain.34448 > ecs-124-70-125-167.compute.hwclouds-dns.com.https: Flags [.], ack 3941, win 501, options [nop,nop,TS val 953561763 ecr 3062879155], length 0
10:53:47.014211 IP localhost.localdomain.34448 > ecs-124-70-125-167.compute.hwclouds-dns.com.https: Flags [F.], seq 833, ack 4459, win 501, options [nop,nop,TS val 953561813 ecr 3062879205], length 0
10:53:47.059715 IP localhost.localdomain.34448 > ecs-124-70-125-167.compute.hwclouds-dns.com.https: Flags [.], ack 4460, win 501, options [nop,nop,TS val 953561858 ecr 3062879251], length 0

信创兼容性测试用例

  • data_ha
  • admin_ha
  • agent
  • data_worker
  • webserver
  • nexus
  • dam
  • nuclei
  • envoy
  • polycubed
1
2
3
4
5
# stop 指令
systemctl stop admin_ha.service adminDam.service dataDam.service data_ha.service nuclei.service envoy.service polycubed.service agent.service data_worker.service nexus webserver

# start 指令
ip link set enp1s0 up, systemctl start admin_ha.service adminDam.service dataDam.service data_ha.service nuclei.service envoy.service polycubed.service agent.service data_worker.service nexus webserver
#信创 #devkit
信创认证.md
https://abrance.github.io/2024/01/19/mdstorage/project/sr/信创认证/
Author
xiaoy
Posted on
January 19, 2024
Licensed under