金融报送_容器应用版本2.7.0升级

2021-07-25 by uino 40 金融报送 产品

1. 升级的意义

tarsier-community 应用镜像,是报送系统的核心组件,它为整个产品提供了最基础的能力。科技信息报送系统2.0.1版本中,tarsier-community 的版本为2.4.2,该版本在一些客户现场进行过安全测试后,发现了一些漏洞,目前,已推出了2.7.0版本,在以下方面进行了安全加固:

  • 防止用户名枚举:对于不存在的用户,登录时,提示用户名和密码不正确
  • 解决一些功能点中存在的CSRF漏洞
  • 解决搜索框中存在的XSS漏洞
  • 支持用户首次登陆时,提示修改用户密码
  • 支持密码有效期的设置

部署架构

2. 实施步骤

tarsier-community 的版本升级,分为以下几个步骤:

  • 上传介质并导入镜像
  • 修改docker-compose.yaml
  • 重启服务进行验证

2.1. 上传介质并导入镜像

  • 将介质tarsier_linux_amd64_2.7.0.tar.gz(其大小约4G)上传到opt目录下,进行如下操作:
## 切换到opt目录下
cd /opt
## 解压文件
gzip -d tarsier_linux_amd64_2.7.0.tar.gz
## 导入镜像
docker load -i tarsier_linux_amd64.tar
## 查看应用镜像,下面的命令能显示出结果说明导入成功
docker images | grep 2.7.0

2.2. 修改docker-compose.yaml

  • 修改docker-compose.yaml文件:
## 切换到/data/smvdata/script目录下,请结合实际的部署情况,调整此处的路径
cd /data/smvdata/script
## 修改docker-compose.yaml中,启动应用时的镜像版本号,将2.4.2修改为2.7.0
vi docker-compose.yaml
    ......
    image: registry.cn-hangzhou.aliyuncs.com/pdtarsier/tarsier-community:2.7.0
    ......

2.3. 重启服务进行验证

- 重启服务

cd /data/smv-manager-2.4.2 && sh service.sh restartall
  • 验证与安全相关的功能
    • XSS、CSRF的安全漏洞,需要冲洗进行漏洞扫描
    • 支持用户首次登陆时提示修改用户密码支持密码有效期的设置,可在 系统配置 → 自定义功能设置 下进行配置

image.png

image.png

3. 相关

  • tarsier-comminity 2.7.0的获取方式:
    • 百度网盘:https://pan.baidu.com/s/17waH3tJD_wfXKfIeoIacYA
    • 提取码: pnkv