DependencyTrack项目中Trivy分析器对Rocky Linux的误判问题分析

背景介绍

在软件供应链安全领域，DependencyTrack是一个开源的组件分析平台，能够帮助开发团队识别项目依赖中的安全问题。其中，Trivy作为其集成的扫描工具之一，负责对操作系统软件包进行安全评估。然而，在实际使用中发现，当对Rocky Linux 9.4系统进行扫描时，DependencyTrack中的Trivy分析器与直接使用Trivy CLI工具的结果存在显著差异，出现了大量误判情况。

问题现象

通过对Rocky Linux 9.4系统（已应用所有可用更新）进行扫描测试，发现了以下现象：

1. 使用Trivy CLI直接扫描系统生成的SBOM文件，检测到27个问题，均为旧版本kernel相关rpm包的真实问题
2. 将同一SBOM文件上传至DependencyTrack后，Trivy分析器却报告了77个问题，其中50个为误判
3. 经核实，这些误判涉及的问题实际上已在Rocky Linux官方安全公告中被修复

技术分析

通过深入分析HTTP通信流量，发现了DependencyTrack与Trivy CLI在向Trivy服务器发送数据时的关键差异：

1. 版本信息格式差异：

   • DependencyTrack发送的版本信息包含完整的EPOCH:VERSION-RELEASE格式
   • Trivy CLI则分别发送VERSION和RELEASE字段

2. 数据结构差异：

   • DependencyTrack缺少独立的"release"字段
   • Trivy CLI则明确区分了version和release字段

这种数据格式的差异导致Trivy服务器在解析时可能无法正确匹配已修复的软件包版本，从而产生误判。

解决方案验证

通过修改DependencyTrack源代码，使其发送的数据格式与Trivy CLI保持一致，具体修改包括：

1. 在Package类中增加release字段
2. 调整TrivyAnalysisTask中处理RPM/DEB包数据的逻辑
3. 确保version字段仅包含主版本号，release字段单独传输

修改后重新测试显示：

• 对Rocky Linux 9.4的扫描结果与Trivy CLI完全一致（27个问题）
• 在Ubuntu 22.04系统上的DEB包扫描结果也与CLI工具一致

技术启示

这一案例揭示了软件供应链安全工具集成中的几个重要问题：

1. 数据格式一致性至关重要，微小的差异可能导致完全不同的扫描结果
2. 对于RPM/DEB等复杂版本格式的软件包，需要特别注意版本字段的解析方式
3. 工具集成时应当参考官方客户端实现，确保API调用方式的一致性
4. 定期进行结果比对验证是发现潜在问题的有效手段

总结

DependencyTrack与Trivy集成时的误判问题，本质上是由于数据格式处理差异导致的版本匹配问题。通过调整数据发送格式，使其与Trivy官方客户端保持一致，可以有效解决这一问题。这一案例也提醒我们，在安全工具链集成过程中，需要特别关注底层数据交换格式的细节，确保各组件间的无缝协作。