DefectDojo项目：Aqua Security扫描报告格式支持扩展分析

在DevSecOps实践中，容器安全扫描是至关重要的环节。DefectDojo作为知名的安全管理平台，需要不断适配各种安全工具的扫描报告格式。本文针对Aqua Security扫描器的新报告格式支持需求进行深入分析。

背景与问题

Aqua Security作为主流的容器安全解决方案，其API接口会随着产品迭代不断演进。当前DefectDojo已支持Aqua的两种报告格式：

1. CI/CD流水线生成的扫描报告
2. 通过/v1版本API获取的扫描结果（如many_v2.json格式）

然而，用户反馈使用/v2版本API（api/v2/risks/security_issues端点）获取的报告无法被DefectDojo正确解析。这主要是因为：

1. 新版API报告结构发生变化
2. 旧版API(v1)的报告缺少CVSSv3评分信息
3. 导致DefectDojo显示的严重等级与Aqua控制台不一致

技术分析

通过对比不同版本的API输出，我们发现关键差异点：

1. 数据结构差异：

   • v1 API采用扁平化结构
   • v2 API采用嵌套式结构，包含更丰富的元数据

2. 安全信息完整性：

   • v2报告包含完整的CVSSv3向量和评分
   • 提供更详细的修复建议和影响评估

3. 兼容性问题：

   • 现有解析器针对旧格式设计
   • 新字段无法被正确映射

解决方案建议

要实现对新格式的支持，建议采取以下技术方案：

1. 新建解析器模块：

   • 保留现有解析器兼容旧格式
   • 新增aqua_v2_parser.py处理新格式

2. 关键字段映射：

   {
       "issue_id": "name",
       "severity": "aqua_severity",
       "cvssv3": "nvd_cvssv3_score",
       "description": "description",
       "package_name": "resource.name",
       "package_version": "resource.version"
   }
   

3. 版本检测逻辑：

   • 通过报告中的API版本字段自动选择解析器
   • 或提供明确的导入选项

实施注意事项

1. 向后兼容：

   • 确保现有用户工作流不受影响
   • 提供清晰的迁移指南

2. 文档完善：

   • 明确说明支持的Aqua报告格式
   • 提供示例报告和配置说明

3. 测试覆盖：

   • 单元测试覆盖各种安全场景
   • 集成测试验证端到端流程

总结

随着Aqua Security产品的迭代，DefectDojo需要相应扩展其解析能力。建议采用模块化设计实现新格式支持，同时保持对旧格式的兼容。这不仅解决了当前用户的痛点，也为未来可能的格式变更预留了扩展空间。

对于希望贡献代码的开发人员，可以从Aqua官方文档入手，重点关注v2 API的数据结构特点，确保关键安全信息能够准确导入DefectDojo系统。