技术文章

使用本指南启动并运行 IQ Server，以便在开发环境中安装这些解决方案之前尝试相关的 Sonatype Lifecycle 或 Lifecycle Foundation 功能。

NexusLifecycleQuickStart-InstallingandStartingtheIQServer" style="box-sizing: inherit; margin: 1rem 0px 0px; padding: 0px; font-weight: normal; font-size: 1.75rem; letter-spacing: -0.008em; color: rgb(23, 43, 77); line-height: 1.7 !important;">安装并启动 IQ 服务器

只需几个简单的步骤即可安装 IQ 服务器 - 选择位置、下载存档服务器并解压内容。由于我们不专注于模仿生产体验，因此大多数笔记本电脑和台式机配置应该可以毫无问题地运行 IQ Server。如果您正在计划未来，请务必查看安装要求。

请记住，您需要 Java 版本 8 或 11 才能运行 IQ Server！

Sonatype Lifecycle 和 Lifecycle Foundation 都需要许可证才能体验本指南中描述的功能。如果您想尝试或购买 Sonatype Lifecycle，请联系我们，我们将很乐意为您提供帮助。

1. 在您所需的位置创建安装目录。

2. 将最新版本的 IQ Server 下载到安装目录。

• 如果您想使用 Docker 安装 IQ Server，请前往 Docker hub 并下载镜像。

3. 提取tar.gz或.zip文件。

4. 使用命令行界面，切换到nexus-iq-server安装目录中的捆绑目录，例如nexus-iq-server-x.xx.x-xx-bundle。

5. 运行以下命令之一启动 IQ Server：

• Linux 或 Mac：./demo.sh

• 视窗：demo.bat

6. 使用默认 URL 在浏览器中打开 IQ Server：http://localhost:8070

7. 使用默认管理员帐户登录：

• 用户名：管理员

• 密码：admin123

8. 安装所需的生命周期许可证。
   sonatype.com/iqserver/files/126648934/155616150/1/1680014711523/image2023-3-28_10-38-59.png" style="box-sizing: inherit; margin: 0px; padding: 0px; border: 0px; height: auto;"/>

9. 使用管理菜单更改您的密码。
   sonatype.com/iqserver/files/126648934/155616148/1/1680014711461/image2023-3-28_10-40-34.png" style="box-sizing: inherit; margin: 0px; padding: 0px; border: 0px; height: auto;"/>
   
   

   注意：IQ Server 需要访问外部数据服务才能执行评估，这可能在您的内部环境中被阻止。有关解决方法，请参阅在 HTTP 代理服务器后面运行 IQ Server。

NexusLifecycleQuickStart-EvaluatingApplications" style="box-sizing: inherit; margin: 0px; padding: 0px; font-weight: normal; font-size: 1.75rem; letter-spacing: -0.008em; color: rgb(23, 43, 77); line-height: 1.7 !important;">评估应用程序

安装并启动 IQ Server 后，您就可以评估应用程序了。我们提供多种评估应用程序的方法，例如通过我们的CLI或我们的许多其他集成之一。对于此示例，我们将通过用户界面 (UI) 评估应用程序。这样做会将这些位传输到您的 IQ 服务器。如果您使用较慢的连接或通过 VPN，这意味着分析时间更长。

如果您需要示例应用程序，请从https://github.com/WebGoat/WebGoat/releases下载 WebGoat 项目。

对于本指南，我们建议使用提供的“沙盒”组织和应用程序填充示例数据来开始学习这些概念。

评估应用程序：

1. 单击侧边工具栏中的组织和策略，然后从侧边栏中选择沙箱组织和沙箱应用程序。您评估的文件与此应用程序相关联。

2. 转到“操作”菜单，然后单击“评估文件”。
   sonatype.com/iqserver/files/126648934/155616146/1/1680014711339/image2023-3-28_10-42-25.png" style="box-sizing: inherit; margin: 0px; padding: 0px; border: 0px; height: auto;"/>

3. 在评估文件对话框中：

• 单击选择文件或浏览，选择要评估的文件，然后单击打开。

• 选择与评估关联的任何阶段，例如Build。

• 单击否可阻止发送策略配置设置中定义的策略违规通知。

• 单击上传开始评估所选应用程序。
  
  

评估完成后，单击“查看报告”以打开已评估应用程序的“应用程序构成报告” 。

NexusLifecycleQuickStart-ReviewingResults" style="box-sizing: inherit; margin: 0px; padding: 0px; font-weight: normal; font-size: 1.75rem; letter-spacing: -0.008em; color: rgb(23, 43, 77); line-height: 1.7 !important;">审查结果

评估后，二进制评估的结果将显示在应用程序构成报告中，您可以随时通过从顶部工具栏中选择“报告”来访问该报告。

应用程序构成报告由几个部分组成：

• 摘要部分位于主要内容区域的顶部。它向您显示报告标题、日期以及有关违规计数、已识别组件计数和祖父违规计数的高级统计信息。

• 策略违规表显示了在应用程序扫描期间发现的所有组件的列表，其中组件按最严重的策略违规排序。您可以按威胁级别、策略名称和组件名称对表进行排序，并通过策略名称和组件名称进行过滤。

• 过滤器侧边栏显示在摘要和策略违规表的左侧。它包括对违规聚合的控制，并允许您按专有、组件匹配状态、违规状态、策略类型和策略威胁级别进行过滤。

• 可以通过“选项”菜单访问漏洞列表。这向您展示了触发策略违规的所有安全漏洞的概述。单击漏洞 ID 可以访问有关给定漏洞的详细信息，该 ID 链接到相应的漏洞查找页面。

调查和补救违规行为

在应用程序构成报告中，您可以深入了解有关违规的具体详细信息。从策略违规表中，单击单个组件以打开组件详细信息页面。

要开始使用组件详细信息页面，请查看以下部分：

• 组件信息- 在图表中，移动垂直条以了解组件版本之间的差异。

• 策略- 单击“放弃”按钮可强制 IQ Server 忽略策略违规。

• 许可证- 跟踪您对特定许可证的研究，甚至覆盖某个许可证。

• 漏洞- 单击“信息”图标可获取组件漏洞的完整说明和建议的操作。

调查完成后，就该开始补救了。一般来说，可以通过完成以下任务之一来实现策略决策：

• 升级到同一组件的无漏洞版本。最推荐此选项，因为它通常是解决问题并降低风险的最简单途径。

• 选择不包含违规的新组件。如果您无法升级组件，下一步就是选择没有违规的类似组件。此选项涉及研究，因为您正在寻找提供相同功能同时确保其不可利用的替代组件。

• 请求豁免违反政策的行为。如果您无法升级或迁移，下一个选项是请求豁免。向项目业主发送豁免请求，并提供足够的信息以做出决定。申请豁免会承担一定数量的技术债务，并且不会解决违规问题。正因为如此，应该谨慎使用它。