euax_gems_validator 1.0.0.beta

checksums.yaml

@@ -0,0 +1,7 @@
+---
+SHA256:
+  metadata.gz: be1d4e909fe11107bb534a59ac2b4b7abc304d1c3d023781f89d1e9bfc6f3e09
+  data.tar.gz: cde3ec65c292ca2236f0f288e668014053d575a687d59ebf46ab14f279c6f93d
+SHA512:
+  metadata.gz: 8da6269f85753c5b5c69c62b70897603eee2421203df42d23cf446a7e8164c9107adbb373fa9dfd6457d68fe01b37899f33507a4bc67ff1c97aabf6511f66f41
+  data.tar.gz: 6dc0add79e2228f541fa400887ce6dd6e047bc9c409d37bee8d38b5e6c6ce7903dc2e2198c9d9ba593a313d0bce618d5a171ba545462a29d2742ea9df155aec8

data/.rspec

@@ -0,0 +1,3 @@
+--format documentation
+--color
+--require spec_helper

data/Dockerfile

@@ -0,0 +1,7 @@
+FROM ruby:2.3.8
+
+WORKDIR /app
+
+COPY . .
+
+RUN bundle install

data/Gemfile

@@ -0,0 +1,9 @@
+# frozen_string_literal: true
+
+source "https://rubygems.org"
+
+# Specify your gem's dependencies in gems-validator.gemspec
+gemspec
+
+gem "rake", "~> 13.0"
+gem "bundler-audit"

data/Gemfile.lock

@@ -0,0 +1,24 @@
+PATH
+  remote: .
+  specs:
+    gems-validator (0.7.4)
+
+GEM
+  remote: https://rubygems.org/
+  specs:
+    bundler-audit (0.9.1)
+      bundler (>= 1.2.0, < 3)
+      thor (~> 1.0)
+    rake (13.0.6)
+    thor (1.2.1)
+
+PLATFORMS
+  ruby
+
+DEPENDENCIES
+  bundler-audit
+  gems-validator!
+  rake (~> 13.0)
+
+BUNDLED WITH
+   1.17.3

data/Makefile

@@ -0,0 +1,2 @@
+bash:
+	sudo docker exec -it gems-validator_app_1 /bin/bash

data/README.md

@@ -0,0 +1,25 @@
+# Gems validator
+
+Um plugin Bundle para validar gems homologadas nas aplicações do grupo EUAX.
+
+## 📦 **Instalação**
+
+Execute `bundle plugin install euax_gems_validator` para adicionar o plugin ao seu bundle.
+
+## 🤷‍♂️ **Como funciona?**
+
+Após instalar o plugin ele irá rodar toda vez que `bundle install` for executado. O plugin utiliza da [API de bibliotecas homologadas](https://github.com/Artia/euax-homologated-libraries)
+para validar as gems de um produto, verificando se elas podem ou não serem instaladas. Ao detectar que uma gem não pode ser instalada o processo de instalação
+é interrompido e uma mensagem de erro com o motivo da falha é apresentada no terminal.
+
+## 🤝 **Contribuindo**
+
+Todo tipo de contribuição é muito bem vinda e apreciada!
+
+-   ⭐️ Dê uma estrela ao projeto
+-   🐛 Encontre e reporte issues
+-   📥 Envie PRs e ajude a resolver issues e adição de features
+
+---
+
+Feito com ❤️ por **Henrique Schmeller**.

data/Rakefile

@@ -0,0 +1,8 @@
+# frozen_string_literal: true
+
+require "bundler/gem_tasks"
+require "rspec/core/rake_task"
+
+RSpec::Core::RakeTask.new(:spec)
+
+task default: :spec

data/docker-compose.yml

@@ -0,0 +1,9 @@
+version: "3"
+services:
+  app:
+    build:
+      context: .
+      dockerfile: Dockerfile
+    volumes:
+      - .:/app
+    tty: true

data/lib/euax_gems_validator/audit-service.rb

@@ -0,0 +1,62 @@
+# frozen_string_literal: true
+
+module GemsValidator
+  class AuditService
+    def initialize()
+      @audit_response = %x[bundle audit check --format json]
+      parse_response()
+
+      @audit_data = {}
+      generate_data()
+    end
+
+    def is_a_vulnerable_gem?(gem)
+      name = gem.name
+      version = gem.version.to_s
+      unless @audit_data[name].nil?
+        generate_messages(name, version)
+      end
+    end
+
+    private
+    def get_translate_criticality(criticality)
+      translate_default_criticalities = { "critical" => "crítica", "high" => "alta", "medium" => "média", "low" => "baixa" }
+      translate_default_criticalities[criticality] || 'não definido'
+    end
+
+    def generate_messages(name, version)
+      GemsValidator::OutputMessage.warn("A gem #{name} na versão #{version} apresenta #{@audit_data[name]["vulnerabilities"].size} vulnerabilidade#{@audit_data[name]["vulnerabilities"].size > 1 ? "s" : ""}")
+      @audit_data[name]["vulnerabilities"].map.with_index do |vulnerability, number|
+        GemsValidator::OutputMessage.warn("*   Título: #{vulnerability[:title]} \n                               Nível: #{get_translate_criticality(vulnerability[:level])} \n                               URL: #{vulnerability[:url]}")
+      end
+    end
+
+    def generate_data()
+
+      @audit_response["results"]&.map do |audit_item|
+        gem_name = audit_item["gem"]["name"]
+        if (@audit_data[gem_name])
+          @audit_data[gem_name]["vulnerabilities"].push({"title": audit_item["advisory"]["title"], "level": audit_item["advisory"]["criticality"], "url": audit_item["advisory"]["url"]})
+        else
+          @audit_data[gem_name] = {
+            "vulnerabilities" => [
+              {
+                "title": audit_item["advisory"]["title"], 
+                "level": audit_item["advisory"]["criticality"], 
+                "url": audit_item["advisory"]["url"]
+              }
+            ]
+          }
+        end
+      end
+    end
+    
+    def parse_response()
+      begin
+        @audit_response = JSON.parse(@audit_response)
+      rescue => exception
+        GemsValidator::OutputMessage.error("Erro ao gerar dados de pacotes vulneráveis.")
+      end
+    end
+  end
+end

data/lib/euax_gems_validator/gems-service.rb

@@ -0,0 +1,78 @@
+# frozen_string_literal: true
+
+module GemsValidator
+  API_BASE_URL = "https://c1cc-2804-14c-f288-9d8e-6f0c-1c9a-fd64-a09b.sa.ngrok.io"
+  class GemsService
+    def initialize()
+      @pwd = Dir.pwd
+    end
+
+    # Response:
+    # { 
+    #   allowed_gems: {
+    #     [name]: {
+    #       approved_at: Date,
+    #       version?: String
+    #     }
+    #   },
+    #   blocked_gems: {
+    #     [name]: {
+    #       blocked_at: Date,
+    #       version?: String
+    #     }
+    #   },
+    #   pending_gems: {
+    #     [name]: {
+    #       requested_at: Date
+    #     }
+    #   }
+    # }
+    def get_gems()
+      gems_formatted_request
+    end
+
+    private
+    def get_token
+      uri = URI("#{GemsValidator::API_BASE_URL}/sessions/token")
+      request = Net::HTTP::Post.new(uri)
+      request.body = { username: 'viewer', password: 'viewer@euax' }.to_json
+      request['Content-Type'] = 'application/json'
+
+      Net::HTTP.start(uri.host, uri.port) do |http|
+        response = http.request request
+        response.header['access_token']
+      end
+    end
+
+    def gems_formatted_request
+      uri = URI("#{GemsValidator::API_BASE_URL}/gems/formatted")
+      begin
+        access_token = get_token
+
+        Net::HTTP.start(uri.host, uri.port) do |http|
+          request = Net::HTTP::Get.new uri
+          request["Authorization"] = access_token
+          response = http.request request
+          parse_body = JSON.parse(response.body)["data"]
+          generate_file("#{@pwd}/.euax-homologated-libraries", parse_body.to_json)
+          parse_body
+        end
+      rescue
+        puts " "
+        GemsValidator::OutputMessage.warn("A API das bibliotecas homologadas esta fora do ar. Para prosseguir, nesse momento os dados serão coletados do cache.")
+        puts " "
+        sleep(3)
+        begin
+          JSON.parse(File.read("#{@pwd}/.euax-homologated-libraries/gems-response.json"))
+        rescue
+          { "allowed_gems" => {}, "blocked_gems" => {}, "pending_gems" => {} }
+        end
+      end
+    end
+
+    def generate_file(base_url, data)
+      Dir.mkdir(base_url) unless File.exists?(base_url)
+      File.write("#{base_url}/gems-response.json", data)
+    end
+  end
+end

data/lib/euax_gems_validator/output-message.rb

@@ -0,0 +1,17 @@
+# frozen_string_literal: true
+
+module GemsValidator
+  class OutputMessage
+    def self.error(message)
+      Bundler::GemspecError.new("[GemsValidator::Error] - #{message}")
+    end
+  
+    def self.warn(message)
+      Bundler.ui.warn("[GemsValidator::Warning] - #{message}")
+    end
+  
+    def self.success(message)
+      Bundler.ui.confirm("[GemsValidator::Success] - #{message}")
+    end
+  end
+end

data/lib/euax_gems_validator/validate.rb

@@ -0,0 +1,75 @@
+# frozen_string_literal: true
+
+module GemsValidator
+  module Validate
+    class << self
+      def exec(gem)
+        @gem = gem
+        begin
+          is_blocked?
+          is_pending?
+          is_allowed?
+          GemsValidator::OutputMessage.success("A gem #{@gem.name} está homologada e pode ser instalada!")
+        rescue => error
+          raise GemsValidator::OutputMessage.error("Não foi possível instalar a gem #{@gem.name}. Motivo: #{error.to_s}")
+        end
+      end
+
+      private
+      def is_blocked?
+        if gems_from_service["blocked_gems"].keys.include?(@gem.name)
+          is_version_blocked?
+          raise "Essa gem foi bloqueada."
+        end
+      end
+
+      def is_version_blocked?
+        if gems_from_service["blocked_gems"][@gem.name]["version"]
+          blocked_version = gems_from_service["blocked_gems"][@gem.name]["version"]
+          if @gem.version.to_s == blocked_version
+            raise "A versão #{blocked_version} foi bloqueada."
+          end
+        end
+      end
+
+      def is_pending?
+        if gems_from_service["pending_gems"].keys.include?(@gem.name)
+          raise "Essa gem está aguardando aprovação."
+        end
+      end
+
+      def is_allowed?
+        if gems_from_service["allowed_gems"].keys.include?(@gem.name)
+          is_version_allowed?
+          is_deprecated?
+        else
+          raise "Essa gem não foi homologada."
+        end
+      end
+
+      def is_version_allowed?
+        if gems_from_service["allowed_gems"][@gem.name]["version"]
+          required_version = gems_from_service["allowed_gems"][@gem.name]["version"]
+          if @gem.version.to_s != required_version
+            raise "Essa gem só pode ser instalada na versão #{required_version}."
+          end
+        end
+      end
+
+      def is_deprecated?
+        if gems_from_service["allowed_gems"][@gem.name]["deprecated"]
+          message = gems_from_service["allowed_gems"][@gem.name]["deprecated_message"]
+          GemsValidator::OutputMessage.warn("A gem #{@gem.name} está depreciada. Motivo: #{message}")
+        end
+      end
+
+      def gems_service
+        @gems_service ||= GemsValidator::GemsService.new()
+      end
+
+      def gems_from_service
+        @gems_from_service ||= gems_service.get_gems()
+      end
+    end
+  end
+end

data/lib/euax_gems_validator/version.rb

@@ -0,0 +1,5 @@
+# frozen_string_literal: true
+
+module GemsValidator
+  VERSION = "1.0.0.beta"
+end

data/lib/euax_gems_validator.rb

@@ -0,0 +1,28 @@
+# frozen_string_literal: true
+
+require 'bundler'
+require 'net/http'
+require 'uri'
+require 'json'
+
+require_relative "euax_gems_validator/audit-service"
+require_relative "euax_gems_validator/output-message"
+require_relative "euax_gems_validator/gems-service"
+require_relative "euax_gems_validator/validate"
+require_relative "euax_gems_validator/version"
+
+module GemsValidator
+  class << self
+    def register
+      return if defined?(@registered) && @registered
+      @registered = true
+
+      auditService = GemsValidator::AuditService.new
+
+      Bundler::Plugin.add_hook('before-install') do |gem|
+        GemsValidator::Validate.exec(gem.spec)
+        auditService.is_a_vulnerable_gem?(gem.spec)
+      end
+    end
+  end
+end

data/plugins.rb

@@ -0,0 +1,2 @@
+require_relative "lib/euax_gems_validator"
+GemsValidator.register

metadata

@@ -0,0 +1,57 @@
+--- !ruby/object:Gem::Specification
+name: euax_gems_validator
+version: !ruby/object:Gem::Version
+  version: 1.0.0.beta
+platform: ruby
+authors:
+- henriquesml
+autorequire: 
+bindir: exe
+cert_chain: []
+date: 2022-11-23 00:00:00.000000000 Z
+dependencies: []
+description: euax_gems_validator
+email:
+- henrique_schmeller@hotmail.com
+executables: []
+extensions: []
+extra_rdoc_files: []
+files:
+- ".rspec"
+- Dockerfile
+- Gemfile
+- Gemfile.lock
+- Makefile
+- README.md
+- Rakefile
+- docker-compose.yml
+- lib/euax_gems_validator.rb
+- lib/euax_gems_validator/audit-service.rb
+- lib/euax_gems_validator/gems-service.rb
+- lib/euax_gems_validator/output-message.rb
+- lib/euax_gems_validator/validate.rb
+- lib/euax_gems_validator/version.rb
+- plugins.rb
+homepage: 
+licenses: []
+metadata: {}
+post_install_message: 
+rdoc_options: []
+require_paths:
+- lib
+required_ruby_version: !ruby/object:Gem::Requirement
+  requirements:
+  - - ">="
+    - !ruby/object:Gem::Version
+      version: 2.3.8
+required_rubygems_version: !ruby/object:Gem::Requirement
+  requirements:
+  - - ">"
+    - !ruby/object:Gem::Version
+      version: 1.3.1
+requirements: []
+rubygems_version: 3.0.3
+signing_key: 
+specification_version: 4
+summary: euax_gems_validator
+test_files: []