Add Faraday v5.22 service#350
Conversation
|
PR Title: Add Faraday v5.22 service Commit: 本次 PR 新增 OctoBus 服务 |
|
PR Title: Add Faraday v5.22 service Commit: 本次PR修复了Faraday v5.22服务中的两个历史安全问题:
测试文件同步更新了相关断言,验证了路径校验和字段不覆盖的行为。 总体评估:修复方向正确,基本解决了安全问题。但 |
|
PR Title: Add Faraday v5.22 service Commit: 本次 PR 修正了 |
|
测试的对象仍然是所对接的服务而不是 octobus ? |
|
已按这个口径重新整理并更新 PR 正文。现在联调证据以 OctoBus Connect RPC 为主体链路:请求先进入本地 OctoBus daemon 的 同时,为满足 PR 的完整联调证据要求,正文保留并补齐了目标产品 Faraday API 的完整 request/response 原文,包含 |
|
还是只覆盖了两个接口? |
|
@innomentats 已按要求补齐:OctoBus Connect RPC 主体链路的完整 request / response 原文从 2/7 扩到 7/7,与正文汇总表行序一致(CreateWorkspace → CreateHost → ListWorkspaces → ListHosts → CreateVulnerability → GetVulnerability → ListVulnerabilities)。 数据沿用上一轮的 请复核,感谢。 |
|
PR Title: Add Faraday v5.22 service Commit: 本次 PR 是一个大规模的功能合并,涉及 519 个文件变更。核心改动包括:新增多个第三方安全设备/服务适配器(阿里云 WAF3、DBAudit、火绒、Hermes Gateway、OpenCTI、FOFA、M01 情报、NSFOCUS NGFW、OWASP Dependency-Track、青藤 HIDS v5、Riversec WAF、锐捷行为防火墙、Telegram Bot API、腾讯 TIX SaaS、火山引擎云防火墙等)、SDK 增强(HTTP 工具模块、错误处理、CLI 上下文绑定)、服务导入功能重构(支持多部分表单上传)以及大量现有服务的安全加固(TLS 跳过逻辑统一、凭证字段从 config 迁移到 secret、敏感信息脱敏)。 审查发现了以下关键问题:
整体评估:PR 以功能扩展和安全改进为主,方向正确,但部分新增服务在 HTTP 客户端实现上回退到了已被修复的过时模式,需要与现有服务的正确模式对齐。 |
a592c71 to
552f202
Compare
Closes #349
接入产品
v5.22.0构建,容器内安装包显示faradaysec==5.22.0)http://127.0.0.1:5985实现范围
本 PR 新增
infobyte-faraday-v5-22service package,覆盖 Faraday 常用漏洞管理联动场景:ListWorkspaces->GET /_api/v3/wsCreateWorkspace->POST /_api/v3/wsListHosts->GET /_api/v3/ws/{workspace_name}/hostsCreateHost->POST /_api/v3/ws/{workspace_name}/hostsListVulnerabilities->GET /_api/v3/ws/{workspace_name}/vulnsGetVulnerability->GET /_api/v3/ws/{workspace_name}/vulns/{object_id}CreateVulnerability->POST /_api/v3/ws/{workspace_name}/vulns测试结果
validate: passedtest: 26/26 passedpack:check: passedworkspace_name仅拒绝.、..、/、\,并允许demo..hosts、v1.2.3等合法名称;extra_fields不覆盖已校验字段。截图证据
Faraday v5.22.0 真实 UI 已在本地测试环境打开并截图,截图展示本 PR 联调创建的
octobus_pr_issue_349_*工作区。页面顶部可见漏洞总数,列表视图中可见通过 Direct API 和 OctoBus Connect RPC 创建的真实 workspace 记录。联调证据:OctoBus Connect RPC 跑通(主体链路)
本节证明测试主体是 OctoBus 接入链路:请求先进入本地 OctoBus daemon 的
/capsets/{capset}/connect/{instance}/{service}/{method},再由本 PR 新增 service 调用真实 Faraday v5.22.0 API。OctoBus 响应中的httpStatus与rawBody来自上游 Faraday API;认证信息已脱敏。CreateWorkspacePOST :19199/capsets/faraday-pr-evidence/connect/faraday-pr-evidence/InfobyteFaradayV522.Faraday/CreateWorkspace HTTP/1.1200201CreateHostPOST :19199/capsets/faraday-pr-evidence/connect/faraday-pr-evidence/InfobyteFaradayV522.Faraday/CreateHost HTTP/1.1200201ListWorkspacesPOST :19199/capsets/faraday-pr-evidence/connect/faraday-pr-evidence/InfobyteFaradayV522.Faraday/ListWorkspaces HTTP/1.1200200ListHostsPOST :19199/capsets/faraday-pr-evidence/connect/faraday-pr-evidence/InfobyteFaradayV522.Faraday/ListHosts HTTP/1.1200200CreateVulnerabilityPOST :19199/capsets/faraday-pr-evidence/connect/faraday-pr-evidence/InfobyteFaradayV522.Faraday/CreateVulnerability HTTP/1.1200201GetVulnerabilityPOST :19199/capsets/faraday-pr-evidence/connect/faraday-pr-evidence/InfobyteFaradayV522.Faraday/GetVulnerability HTTP/1.1200200ListVulnerabilitiesPOST :19199/capsets/faraday-pr-evidence/connect/faraday-pr-evidence/InfobyteFaradayV522.Faraday/ListVulnerabilities HTTP/1.1200200以下贴出全部 7 个 OctoBus Connect RPC 方法的真实请求 / 响应原文,覆盖创建、查询和列表链路。响应体中的
httpStatus与rawBody来自上游 Faraday API,认证信息已脱敏;为控制 PR 描述长度,每段响应中冗余的rawJson(rawBody 的 protobuf 重建副本)已省略,完整 protobuf 形态可在本地通过 OctoBus daemon 复现。OctoBus Connect RPC:CreateWorkspace 跑通
Request
Response
OctoBus Connect RPC:CreateHost 跑通
Request
Response
OctoBus Connect RPC:ListWorkspaces 跑通
Request
Response
OctoBus Connect RPC:ListHosts 跑通
Request
Response
OctoBus Connect RPC:CreateVulnerability 跑通
Request
Response
OctoBus Connect RPC:GetVulnerability 跑通
Request
Response
OctoBus Connect RPC:ListVulnerabilities 跑通
Request
Response
联调证据:目标产品 Faraday API 跑通(完整原文)
以下为本次真实 Faraday v5.22.0 API 调用结果,目标地址为本地测试实例
http://127.0.0.1:5985。Basic Auth 已脱敏,路径、状态码、请求体、响应体保持完整可见。本节对应上方 7 个 OctoBus 方法的上游目标 API 原文。Faraday API:CreateWorkspace 跑通
Request
Response
Faraday API:CreateHost 跑通
Request
Response
Faraday API:CreateVulnerability 跑通
Request
Response
Faraday API:GetVulnerability 跑通
Request
Response
Faraday API:ListWorkspaces 跑通
Request
Response
Faraday API:ListHosts 跑通
Request
Response
Faraday API:ListVulnerabilities 跑通
Request
Response