الصفحة الرئيسية>موارد بناء الموقع>بيانات الموقع
تنزيل

تحليل الضعف على شبكة الإنترنت Securestack عمل GitHub

إجراء github يحلل تطبيق الويب الخاص بك لقضايا الأمان والتوافر. عندما تضيف هذا إلى إجراءات github ، سنقوم بتحليل تطبيق الويب الخاص بك في كل مرة تقوم فيها بنشرها إلى نقطة نهاية عامة وإعلامك بما إذا كان ما نشرته للتو آمنًا ويفي بمتطلباتك. انظر أدناه لمعرفة أنواع القضايا التي يقوم بها هذا الإجراء. 

 name: Example Workflow Using SecureStack Web Vulnerability Exposure Action
on: push
jobs:
  security:
    runs-on: ubuntu-latest
    steps:
      - name: Web Vulnerability Exposure Analysis Step
        id: exposure
        uses: SecureStackCo/[email protected]
        with:
          securestack_api_key: ${{ secrets.SECURESTACK_API_KEY }}
          securestack_app_id: ${{ secrets.SECURESTACK_APP_ID }}
          severity: critical
          flags: '--dom -r'

ملاحظة - لفهم القيم المحتملة flags إدخال الإجراء ، قم بتشغيل Securestack CLI محليًا:

$ bloodhound-cli code --help

قم بإنشاء مفتاح API الخاص بك Securestack وحفظه كسرور Github

  1. قم بتسجيل الدخول إلى Securestack مع بيانات اعتماد GitHub الخاصة بك.
  2. انتقل إلى الإعدادات في الزاوية اليسرى السفلى ، ثم حدد علامة التبويب السادسة: API. إنشاء مفتاح API
  3. إنشاء مفتاح API جديد ونسخ القيمة. نسخ مفتاح API
  4. عد الآن إلى Github ، انتقل إلى إعدادات مستودع GitHub وانقر على الأسرار ، ثم الإجراءات في أسفل اليسار.
  5. قم بإنشاء سر جديد يدعى Securestack_API_Key والصق القيمة من الخطوة 2 إلى الحقل وانقر فوق "إضافة Secret". إنشاء سر github لمفتاح API

إعادة تعزيز معرف تطبيق Securestack الخاص بك

  1. تسجيل الدخول إلى Securestack.
  2. في التطبيق المنسدلة في أعلى اليسار ، اختر التطبيق الذي تريد استخدامه وانقر فوق "Copy Application ID" نسخ معرف التطبيق
  3. قم بإنشاء سر جديد يدعى Securestack_App_ID والصق القيمة من الخطوة 2 إلى الحقل وانقر فوق "إضافة Secret". إنشاء سر github ل App_id
  4. عند الانتهاء من أسرار Github يجب أن يبدو هكذا أنشأ بنجاح أسرار

ما هي نقاط الضعف التي نجدها؟

  1. مسح تطبيق الويب للخروج ومكونات التطبيق الضعيفة
  2. يحدد ما إذا يتم استخدام عناصر التحكم في الأمان الأساسية مثل WAF وجدران الحماية ورؤوس الأمن
  3. يجد جميع الأصول العامة التي تواجهها ويساعدك على فهم سطح هجوم التطبيق الخاص بك
  4. يحدد سوء التكوينات في WAF الحالية أو CDN
  5. يحدد ما إذا كان التطبيق يستخدم CSP أو رؤوس الأمان وما إذا كانوا يعملون
  6. يجد الهجمات الالتفافية لـ WAF لـ Akamai و Cloudflare و Imperva

كيف يمكنني رؤية إخراج تحليل تعرض الويب؟

  1. يمكنك عرض إخراج التحليل مباشرة في إخراج سير عمل GitHub خرج سير العمل

  2. يمكنك تشغيل تحليل الأسرار المحلية باستخدام Cloyound -Cli: bloodhound-cli recon -r -a <app_id>

  3. يمكنك التفاعل مع إخراج التحليل في Securestack SaaS منصة

تحقق من تصرفات github الأخرى:

  1. Securestack تحليل تكوين برامج (SCA) - مسح تطبيقك لمكتبات الجهات الخارجية الضعيفة والمكتبات المفتوحة المصدر.
  2. Securestack Secret Scanning - مسح التطبيق الخاص بك للحصول على مفاتيح واجهة برمجة التطبيقات المضمنة وبيانات الاعتماد وبيانات senstive.
  3. Securestack Web Budability & Cloud Disconfiguration Analysis - مسح عنوان URL لتطبيق التشغيل الخاص بك للاختطاف السحابي ونقاط الضعف على الويب.
  4. تحليل Securestack Log4J - مسح التطبيق الخاص بك للحصول على نقاط الضعف Log4j/Log4shell.
  5. Securestack SBOM - قم بإنشاء فاتورة للبرنامج (SBOM) لتطبيقك.
  6. أو ، إجراء GitHub الخاص بنا-لقد وضعنا جميع أفعالنا معًا في "إجراء واحد لتحكمهم جميعًا"!

مصنوعة مع؟ بواسطة Securestack

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل