APIClarity 正在参加 2021 年度 OSC 中国开源项目评选,请投票支持!
APIClarity 在 2021 年度 OSC 中国开源项目评选 中已获得 {{ projectVoteCount }} 票,请投票支持!
2021 年度 OSC 中国开源项目评选 正在火热进行中,快来投票支持你喜欢的开源项目!
2021 年度 OSC 中国开源项目评选 >>> 中场回顾
APIClarity 获得 2021 年度 OSC 中国开源项目评选「最佳人气项目」 !
授权协议 Apache
操作系统 跨平台
软件类型 开源软件
所属分类 云计算云原生
开源组织
地区 不详
投 递 者
适用人群 未知
收录时间 2021-11-03

软件简介

APIClarity 提供了一种方案,使用服务网格框架(如 Istio)捕获现有环境中的所有 API 流量,然后通过观察 API 流量或上传 OpenAPI 的参考规范来构建一个 OpenAPI 规范。

解决方案

  • 使用 mesh 框架(例如 Istio)捕获现有环境中的所有 API 流量
  • 通过观察 API 流量构建 OpenAPI 规范或上传参考 OpenAPI 规范
  • 审查、修改和批准自动生成的 OpenAPI 规范
  • 对已批准的 API 规范与运行时观察到的 API 调用之间的任何差异发出警报;检测影子和僵尸 API
  • 提供用于审计和监控结果的 UI 仪表板
展开阅读全文

代码

的 Gitee 指数为
超过 的项目

评论

点击引领话题📣 发布并加入讨论🔥
暂无内容
发表了博客
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
发表了问答
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
prometheus client golang 资源管理错误漏洞
不加限制或调节的资源分配
Prometheus是一款使用Go语言编写的、用于记录使用HTTP拉模型构建的时间序列数据库中实时指标的开源软件。 prometheus client golang存在资源管理错误漏洞,该漏洞源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当。
CVE-2022-21698 MPS-2021-37056
2023-12-20 19:58
Gin-Gonic Gin 环境问题漏洞
HTTP请求走私
Gin-Gonic Gin是Gin-Gonic团队的一个基于Go语言的用于快速构建Web应用的框架。 github.com/gin-gonic/gin 全部版本存在安全漏洞,该漏洞源于可以通过设置X-Forwarded-For头来欺骗客户端的IP。
CVE-2020-28483 MPS-2021-5932
2023-12-20 19:58
go.uuid 不安全的随机性漏洞
使用具有密码学弱点缺陷的PRNG
go.uuid 是一个用于 Go 的 UUID 包。这个包提供了通用唯一标识符 (UUID) 的纯 Go 实现。支持 UUID 的创建和解析。 该软件包的受影响版本存在不安全的随机性问题,由于使用g.rand.Read函数时读取的字节数有限,导致生成可预测的UUID标识符。
CVE-2021-3538 MPS-2021-7854
2023-12-20 19:58
containerd CRI stream server 存在拒绝服务漏洞
拒绝服务
containerd 是一个开源的容器运行环境,containerd CRI 是一个使 kubelet 或 crictl 等服务能够使用 containerd 容器运行的接口,stream server 用于处理容器 IO 。 containerd 的受影响版本中的 CRI stream server 在处理用户调整终端大小的 tty 请求时存在不受控制的资源消耗漏洞,漏洞源于 CRI stream server 会启动一个 goroutine 线程来处理用户的 tty 请求,当用户的进程由于意外(如错误命令)无法启动时,该 goroutine 线程将在没有接收者的情况下等待发送(挂起),从而导致内存泄漏。攻击者可通过发送恶意的 tty 请求造成 containerd 容器拒绝服务。
CVE-2022-23471 MPS-2022-1898
2023-12-20 19:58
Certifi 存在数据真实性验证不充分漏洞
对数据真实性的验证不充分
Certifi 是一个用于验证 TLS 主机身份的同时验证 SSL 证书的可信度的开源代码库。 根据媒体报道:TrustCor 的所有权经营一家生产间谍软件的企业,Certifi 从根存储中删除 TrustCor 中的根证书,并且 TrustCor 正在被 Mozilla 从信任证书库中删除。请阅读相关链接:https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/oxX69KFvsm4/m/yLohoVqtCgAJ
CVE-2022-23491 MPS-2022-1918
2023-12-20 19:58
node-semver 安全漏洞
ReDoS
npm node-semver是美国npm公司的一个库。 node-semver 7.5.2之前版本存在安全漏洞,该漏洞源于容易受到正则表达式拒绝服务(ReDoS)的攻击。
CVE-2022-25883 MPS-2022-5166
2023-12-20 19:58
Google Golang 资源管理错误漏洞
攻击者可以通过恶意制造的HTTP/2流来利用HPACK解码器中的漏洞,导致解码器过度消耗CPU资源,从而使服务器无法响应来自少量且小的请求,进而实施拒绝服务攻击。
CVE-2022-41723 MPS-2022-58307
2023-12-20 19:58
Go-Yaml 安全漏洞
反序列化
Go-Yaml是一种 Yaml 对 Go 语言的支持。使 Go 程序能够轻松地对 Yaml 值进行编码和解码。 Go-Yaml v3存在安全漏洞。攻击者利用该漏洞通过Unmarshal函数导致程序在尝试反序列化无效输入时崩溃。
CVE-2022-28948 MPS-2022-8233
2023-12-20 19:58
Google Go 权限许可和访问控制问题漏洞
权限管理不当
Google Go是美国谷歌(Google)公司的一种静态强类型、编译型、并发型,并具有垃圾回收功能的编程语言。 Google go 存在权限许可和访问控制问题漏洞,该漏洞源于系统调用中的faccessat存在检查错误。
CVE-2022-29526 MPS-2022-9049
2023-12-20 19:58
ejs 存在服务端模板注入漏洞
注入
【漏洞存在争议】 EJS 是开源的 JavaScript 模板引擎,允许在HTML代码中使用JavaScript代码块,closeDelimiter 参数是 EJS 模板中的结束标记,用于指定结束分隔符。 由于对 CVE-2022-29078 漏洞修复不完全,当应用程序使用 EJS 模板引擎,并且未对用户传入的变量进行转义或过滤时,攻击者可以在 closeDelimiter 参数中注入任意的JavaScript代码,从而在服务器上执行恶意系统命令、读取和修改敏感文件等操作。 注意:供应商对此有异议,因为渲染函数不打算与不受信任的输入一起使用。
CVE-2023-29827 MPS-2023-10199
2023-12-20 19:58
containerd 安全漏洞
不加限制或调节的资源分配
containerd是containerd开源的一个行业标准的容器运行时。 containerd 1.6.18之前的1.6.x版本和1.5.18之前的1.5.x版本存在安全漏洞,该漏洞源于某些文件的读取字节数没有限制,攻击者利用该漏洞可能会导致拒绝服务。
CVE-2023-25153 MPS-2023-3769
2023-12-20 19:58
containerd容器内文件权限机制实现不当
将用户置入不正确的用户组
containerd是主流的容器运行时环境。 在受影响版本中,containerd对系统用户附加组(supplementary group)的实现机制存在缺陷,导致容器内的文件权限在通过组设置拒绝访问权限时(negative group),可以被绕过,容器内的用户能够访问到同一个容器内其不允许访问的文件。 漏洞源于在Linux等系统中会将用户主要组(primary group)权限拷贝到附加组,而OCI中对用户主要组和附加组的实现没有明确规范,导致各个容器运行时实现有差异,出现文件权限控制机制没有被正确实现,攻击者可以通过附加组权限访问限制文件。
CVE-2023-25173 MPS-2023-3789
2023-12-20 19:58
word-wrap 安全漏洞
ReDoS
由于结果变量中使用了不安全的正则表达式,word-wrap包的所有版本都存在正则表达式拒绝服务(ReDoS)漏洞。攻击者可以利用此漏洞通过构造恶意输入来导致正则表达式匹配超时,进而导致系统拒绝服务。建议升级到修复版本以修补此漏洞。
CVE-2023-26115 MPS-2023-5109
2023-12-20 19:58
Gin-Gonic Gin 输入验证错误漏洞
输入验证不恰当
Gin-Gonic Gin是Gin-Gonic团队的一个基于Go语言的用于快速构建Web应用的框架。 Gin-Gonic Gin 1.9.0 之前版本存在安全漏洞,该漏洞源于容易受到不正确的输入验证的影响,攻击者利用该漏洞可以通过 X-Forwarded-Prefix 标头使用特制请求,从而可能导致缓存中毒。
CVE-2023-26125 MPS-2023-5119
2023-12-20 19:58
Webpack 安全漏洞
Webpack是一个模块打包器。它的主要目的是捆绑 JavaScript 文件以便在浏览器中使用,但它也能够转换、捆绑或打包几乎任何资源或资产。 Webpack 5版本至5.76.0之前版本存在安全漏洞,该漏洞源于没有避免跨领域对象访问。
CVE-2023-28154 MPS-2023-7721
2023-12-20 19:58
Moby 安全漏洞
未能安全地进行程序失效(Failing Open)
Moby是由Docker Inc.开发的开源容器框架,作为Docker、Mirantis Container Runtime和其他下游项目/产品进行分发。作为moby/moby开发的Moby守护程序组件(`dockerd`)通常被称为* Docker*。Swarm Mode是在dockerd中默认编译和发布的,并因此存在于大多数主要Moby下游中。它是一个简单的内置容器编排器,通过SwarmKit和支持的网络代码的组合来实现。覆盖网络驱动程序是Swarm Mode的核心功能之一,提供了允许容器和集群中的服务之间进行通信的隔离虚拟局域网。此驱动程序是VXLAN的实现/用户,通过在UDP数据包中标记帧的VXLAN网络ID(VNI)来封装链路层(以太网)帧。此外,覆盖网络驱动程序支持一个默认情况下关闭的可选加密模式,特别适用于VXLAN数据包在节点之间穿越不受信任的网络时。通过部署IPSec封装,加密覆盖网络获得了源身份验证的额外属性,通过加密证明实现数据完整性,以及通过加密保证机密性。在加密覆盖网络上设置端点时,Moby安装了三个iptables(Linux内核防火墙)规则,以强制执行入站和出站IPSec。这些规则依赖于由xt_u32内核模块提供的u32 iptables扩展,直接过滤VXLAN数据包的VNI字段,从而可以在不干扰其他覆盖网络或VXLAN的其他用户的情况下强制执行IPSec保证。两个iptables规则用于过滤具有对应于加密网络的VNI的入站VXLAN数据包,并丢弃未加密的数据包。这些规则添加到INPUT过滤链的末尾,位于系统管理员先前设置的任何规则之后。管理员设置的规则优先于Moby设置的规则,可能会导致未加密的VXLAN数据包被放行。注入任意以太网帧可以导致拒绝服务攻击。一个高级攻击者可能能够通过容器的出站网关建立一个通过有状态防火墙本应被阻止的UDP或TCP连接,或者通过向覆盖网络中的数据包添加隐藏数据包来执行其他的提升操作。补丁已在Moby发布版本23.0.3和20.10.24中提供。由于Mirantis Container Runtime的20.10版本编号不同,使用该平台的用户应升级到20.10.16。一些解决方法可用。关闭VXLAN端口(默认为UDP端口4789)以阻止所有VXLAN数据包的输入流量,和/或确保在Swarm集群的所有节点上都可用`xt_u32`内核模块。
CVE-2023-28840 MPS-2023-8823
2023-12-20 19:58
Moby 安全漏洞
未能安全地进行程序失效(Failing Open)
Moby是由Docker Inc.开发的开源容器框架,分发为Docker、Mirantis容器运行时和其他各种下游项目/产品。作为moby/moby开发的Moby守护进程组件(`dockerd`)通常被称为*Docker*。Swarm模式是默认编译和交付的`dockerd`中的一个简单内置容器编排器,通过SwarmKit和支持网络代码的组合来实现。`overlay`网络驱动是Swarm模式的核心功能,提供隔离的虚拟局域网(VLAN),允许容器和集群中的服务之间进行通信。该驱动程序是VXLAN的实现/用户,通过UDP数据报将链路层(以太网)帧封装在传输中,使用VXLAN元数据(包括标识源端的VXLAN网络ID)标记帧。此外,overlay网络驱动还支持可选的启用加密模式,当VXLAN数据包在节点之间通过不受信任的网络传输时,这一模式尤为有用。加密overlay网络通过在传输模式下使用IPsec封装安全有效负载协议来封装VXLAN数据报。通过部署IPSec封装,加密overlay网络获得源身份验证、数据完整性和机密性的额外属性。在加密overlay网络上设置终端时,Moby会安装三个iptables(Linux内核防火墙)规则来强制执行入站和出站IPSec。这些规则依赖于`xt_u32`内核模块提供的`u32`iptables扩展,以便直接过滤VXLAN数据包的VNI字段,从而可以在加密overlay网络上强制执行IPSec保证,而不会干扰其他overlay网络或VXLAN的其他用户。受影响平台上的加密overlay网络会静默传输未加密数据。因此,`overlay`网络可能看起来正常工作,按预期传递流量,但没有任何预期的机密性或数据完整性保证。位于网络上受信任位置的攻击者有可能读取通过overlay网络传输的所有应用程序流量,导致意外的机密信息或用户数据泄露。因此,由于许多数据库协议、内部API等没有受到第二层加密的保护,用户可能使用Swarm加密overlay网络来提供机密性,但由于此漏洞,这一保证不再可靠。Moby发布23.0.3和20.10.24中提供了补丁。由于Mirantis容器运行时的20.10版本编号不同,请使用该平台的用户升级到20.10.16。您可以采取一些解决方法,如在互联网边界关闭VXLAN端口(默认为UDP端口4789)以防止意外泄漏未加密流量,和/或确保在Swarm集群的所有节点上可用`xt_u32`内核模块。
CVE-2023-28841 MPS-2023-8824
2023-12-20 19:58
Moby 安全漏洞
未能安全地进行程序失效(Failing Open)
Moby中的加密覆盖网络存在漏洞,攻击者可以通过将以太网帧封装在VXLAN数据报中,向加密覆盖网络中注入任意帧。这可能导致严重后果,建议参考GHSA-vwm3-crmr-xfxw进行深入探讨。已在Moby发布的版本23.0.3和20.10.24中修复此问题。为了解决此问题,在多节点集群中,在每个节点上部署一个全局的‘pause’容器以用于每个加密覆盖网络。对于单节点集群,不要使用任何覆盖网络。桥接网络在单个节点上提供相同的连接性,而且没有多节点功能。Swarm的入口功能使用覆盖网络实现,但可以通过以`host`模式而不是`ingress`模式发布端口(允许使用外部负载均衡器),并删除入口网络来禁用该功能。如果仅使用加密覆盖网络,请阻止未通过IPSec验证的流量的UDP端口4789。
CVE-2023-28842 MPS-2023-8826
2023-12-20 19:58
Gin 安全漏洞
下载代码缺少完整性检查
Gin是Marius Küng个人开发者的一个使用 Electron 构建的小型 JavaScript Markdown 编辑器。 Gin存在安全漏洞,该漏洞源于Context.FileAttachment 函数的文件名参数未正确清理,攻击者利用该漏洞可以通过恶意制作的附件文件名修改 Content-Disposition 标头。
CVE-2023-29401 MPS-2023-9711
2023-12-20 19:58
urllib3 安全漏洞
urllib3是Python的一款用户友好的HTTP客户端库。之前,urllib3在HTTP重定向响应(状态码为301、302或303)后没有删除HTTP请求体,即使请求的方法已从一种可以接受请求体的方法(如`POST`)更改为HTTP RFC要求的`GET`。尽管此行为未在重定向部分中指定,但可以通过将来自不同部分的信息进行拼接来推测出此行为,我们还观察到其他主要HTTP客户端实现(如curl和Web浏览器)中存在此行为。由于此漏洞需要先前可信服务被入侵以对机密性产生影响,我们认为此漏洞的利用可能性较低。此外,许多用户在HTTP请求体中不放置敏感数据,如果是这种情况,则无法利用此漏洞。受此漏洞影响必须同时满足以下两个条件:1. 使用urllib3并在HTTP请求体中提交敏感信息(如表单数据或JSON),并且2. 原服务被入侵并开始使用301、302或303重定向到恶意对端或被重定向的服务被入侵。此问题已在版本1.26.18和2.0.7中得到解决,建议用户更新以解决此问题。无法更新的用户应禁用对不希望使用redirect的服务的重定向(`redirects=False`),并禁用自动重定向(`redirects=False`),并通过剥离HTTP请求体来手动处理301、302和303重定向。
CVE-2023-45803 MPS-46py-nxai
2023-12-20 19:58
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
0 评论
2 收藏
分享
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部