arch security tracker

Arch Linux 보안 추적기는 Arch Linux 패키지의 취약점을 추적하고 취약성 세부 사항을 표시하고 보안 자문을 생성하기위한 가벼운 플라스크 기반 패널입니다.

• 문제 추적
• 문제 그룹화
• libalpm 지원
• TODO 목록
• 자문 일정
• 자문 세대
• SSO 또는 로컬 사용자

• 파이썬> = 3.4
• Python-sqlalchemy
• Python-sqlalchemy-continuum
• 파이썬 플라스크
• Python-Flask-Sqlalchemy
• 파이썬 플라스크-세상
• 파이썬 플라스크 -WTF
• 파이썬 플라스크 로그
• 파이썬 플라스크 이동
• Python-Authlib
• 파이썬-이메일-밸리 디터
• 파이썬 요청
• 파이썬-스크릴리트
• Python-feedgen
• Python-Pytz
• Python-Markupsafe
• pyalpm
• sqlite

• Python-Isort
• Python-Pytest
• Python-Pytest-Cov

파이썬 의존성은 가상 환경 ( venv )에 설치하여 다음을 수행 할 수 있습니다.

 python -m venv .virtualenv
. .virtualenv/bin/activate
pip install -r requirements.txt

실행 테스트 :

 pip install -r test-requirements.txt

 make

디버그 모드 실행 :

 make run

새 사용자 추가 :

 make user

실행 테스트 :

 make test

생산을 위해 uwsgi 를 통해 실행하십시오

trackerctl 스크립트는 추적기의 다른 부분을 제어하고 작동하는 명령 줄 인터페이스에 대한 액세스를 제공합니다. 모든 명령 및 하위 명령은 작업 및 사용 가능한 모든 옵션을 설명하는 --help 옵션을 제공합니다.

구성은 모두 config 디렉토리에 배치되어 정렬 된 캐스케이드로 적용됩니다.

사용자 정의를 위해 00-default.conf 파일의 기본값을 변경해서는 안됩니다. 약간의 조정이 필요한 경우 .local.conf 접미사와 20-user.local.conf 와 같은 비 0이없는 접두사가있는 새 구성 파일을 만듭니다. 이 접미사를 사용하는 파일은 .gitignore 에 있으며 추적되지 않거나 더러워진 것으로 처리되지 않습니다.

SSO를위한 간단한 테스트 환경은 KeyCloak을 사용하여 구성 할 수 있습니다.

1. 기재된대로 Docker를 통해 로컬 키 클로크 설치를 실행하십시오.

2. Test/Data/OpenID-Client.json과 같이 KeyCloak에서 arch-security-tracker 클라이언트를 만듭니다. 클라이언트에 클레임으로 포함 된 groups 이라는 그룹 멤버십을위한 맵퍼가 포함되어 있는지 확인하십시오.

3. 활성화 된 SSO를 사용하여 로컬 트래커 구성 파일을 작성하고 그에 따라 OIDC 비밀, 그룹 및 메타 데이터 URL을 구성하십시오.

몇 가지 지침과 권장 사항에 대한 도움을 주시면 기여 파일을 확인하십시오.