sast scan

  ___            _____ _                    _
 / _           | _   _ | |                  | |
/ /_  _ __  _ __ | | | | __  _ __ ___  __ _ | | _
|  _  | ' _ | ' _ | | | ' _ | ' __/ _ / _ ` | __ |
| | | | | _) | | _) | | | | | | | |  __/ (_ | | | _
_ | | _/ .__/ | .__/ _ / | _ | | _ | _ |  _ __ | _ _,_ | _ _ |
      | |   | |
      | _ |   | _ |

Dieses Repo erstellt appthreat/sast-scan (und quay.io/appthreat/sast-scan ), ein Containerbild mit einer Reihe von SAST-Tools (Open-Source "-Stests (STATIC SECURTE TESTING). Dies ist wie ein Schweizer Armeemesser für DevSecops -Ingenieure.

• Keine unordentliche Konfiguration und kein Server erforderlich
• Das Scannen erfolgt direkt im CI und ist extrem schnell. Der volle Scan dauert oft nur ein paar Minuten
• Wunderschöne HTML -Berichte, die Sie stolz mit Ihren Kollegen und dem Sicherheitsteam teilen können
• Automatischer Exit -Code 1 (Build Breaker) mit kritischen und hohen Schwachstellen
• Es gibt eine Reihe kleiner Dinge, die jedem DevOps -Team ein Lächeln bringen werden

• JQ
• Gehen Sie 1.12
• Python 3.6
• OpenJDK 11 (JRE)
• Ruby 2.5.5
• Rost
• Node.js 10
• Garnpkg

Einige Berichte werden in einen offenen Standard namens Sarif umgewandelt. Weitere Informationen finden Sie im Abschnitt zum Viewing reports für verschiedene Zuschaueroptionen dafür.

• Bash - Shellcheck
• Credscan - Gitleaks
• Python - Bandit
• Node.js - nodejsscan
• PMD, Findsec-Bugs
• GO - GOSEC, STATICCHECKECK
• Terraform - TFSEC

Sast-Scan eignet sich ideal für die Verwendung mit CI und auch als Vor-Commit-Haken für die lokale Entwicklung.

Siehe Dokument

Dieses Tool kann mit GitHub -Aktionen mit dieser Aktion verwendet werden. Alle unterstützten Sprachen können verwendet werden.

Dieser Repo testet sich selbst mit Sast-Scan! Überprüfen Sie die GitHub -Workflow -Datei dieses Repo.

- name : Self sast-scan
  uses : AppThreat/[email protected]
  with :
    output : reports
    type : python,bash
- name : Upload scan reports
  uses : actions/[email protected]
  with :
    name : sast-scan-reports
    path : reports 

Verwenden Sie diesen benutzerdefinierten Builder, um Sast-Scan als Build-Schritt hinzuzufügen.

Die vollständigen Schritte werden unten reproduziert.

1. Fügen Sie den benutzerdefinierten Bauunternehmer Ihrem Projekt hinzu

git clone https://github.com/CloudBuildr/google-custom-builders.git
cd google-custom-builders/sast-scan
gcloud builds submit --config cloudbuild.yaml .

2. Verwenden Sie es in Cloudbuild.yaml

 steps :
  - name : " gcr.io/$PROJECT_ID/sast-scan "
    args : ["--type", "python"] 

Siehe Dokument

Ein Beispielprojekt mit Konfiguration finden Sie hier

 sast :
  stage : test
  image : 
    name : appthreat/sast-scan
  script :
    - scan --src ${CI_PROJECT_DIR} --type nodejs --out_dir ${CI_PROJECT_DIR}/reports
  artifacts :
    paths :
      - $CI_PROJECT_DIR/reports/ 

Sarif-Berichte von Sast-Scan können in andere kompatible Werkzeuge integriert werden. Es kann auch leicht in Datenbanken wie BigQuery für Visualisierungszwecke importiert werden. Eine ausführliche Erläuterung des SARIF -Formats finden Sie im Integrationsdokument.

Scannen Sie das Python -Projekt

docker run --rm -e " WORKSPACE= ${PWD} " -v " $PWD :/app:cached " quay.io/appthreat/sast-scan scan --src /app --type python

Unter Windows ändert sich der Befehl je nach Terminal geringfügig.

CMD

 docker run --rm -e "WORKSPACE=%cd%" -e "GITHUB_TOKEN=%GITHUB_TOKEN%" -v "%cd%:/app:cached" quay.io/appthreat/sast-scan scan

Powershell und Powershell -Kern

 docker run --rm -e "WORKSPACE=$(pwd)" -e "GITHUB_TOKEN=$env:GITHUB_TOKEN" -v "$(pwd):/app:cached" quay.io/appthreat/sast-scan scan

WSL Bash

 docker run --rm -e "WORKSPACE=${PWD}" -e "GITHUB_TOKEN=${GITHUB_TOKEN}" -v "$PWD:/app:cached" quay.io/appthreat/sast-scan scan 

Git-Bash

 docker run --rm -e "WORKSPACE=${PWD}" -e "GITHUB_TOKEN=${GITHUB_TOKEN}" -v "/$PWD:/app:cached" quay.io/appthreat/sast-scan scan 

Vergessen Sie nicht den Schrägstrich (/) vor $ PWD für Git-Bash!

Scannen Sie mehrere Projekte

docker run --rm -e " WORKSPACE= ${PWD} " -v " $PWD :/app:cached " quay.io/appthreat/sast-scan scan --src /app --type credscan,nodejs,python,yaml --out_dir /app/reports

Scannen Sie Java -Projekt

Für Java- und JVM-Sprachprojekte ist es wichtig, die Projekte zu kompilieren, bevor Sie Sast-Scan im Entwickler- und CI-Workflow aufrufen.

docker run --rm -e " WORKSPACE= ${PWD} " -v ~ /.m2:/.m2 -v < source path > :/app quay.io/appthreat/sast-scan scan --src /app --type java

# For gradle project
docker run --rm -e " WORKSPACE= ${PWD} " -v ~ /.gradle:/.gradle -v < source path > :/app quay.io/appthreat/sast-scan scan --src /app --type java

Scannen Sie das Python -Projekt (ohne Telemetrie)

docker run --rm -e " WORKSPACE= ${PWD} " -e " DISABLE_TELEMETRY=true " -v $PWD :/app quay.io/appthreat/sast-scan scan --src /app --type python

Automatische Projekterkennung

Fühlen Sie sich frei zu --type , um die automatische Erkennung zu ermöglichen. Oder über die von Kommas getrennte Werte bestehen, wenn das Projekt mehrere Typen enthält.

Bandit

docker run --rm -v < source path > :/app quay.io/appthreat/sast-scan bandit -r /app

Berichte werden im Verzeichnis erstellt, das für --out_dir angegeben ist. In den obigen Beispielen ist es auf reports festgelegt, die ein Verzeichnis im Quellcode -Root -Verzeichnis sein werden.

Einige der Berichte würden in einen Standard namens Sarif konvertiert. Solche Berichte würden mit der Erweiterung .sarif enden. Um die SARIF -Dateien zu öffnen und anzeigen, erfordern ein Betrachter wie:

• Online -Viewer - http://sarifviewer.azurewebsites.net/
• VS Code-Erweiterung-https://marketplace.visualstudio.com/items?itemname=ms-sarifscode.sarif-viewer
• Visual Studio -Erweiterung - https://marketplace.visualstudio.com/items?itemname=wdgis.microsoftSarifviewer
• Azure DevOps Erweiterung-https://marketplace.visualstudio.com/items?itemname=shiftleftsecurity.sl-scan-results

Beispielberichte:

Online -Viewer kann verwendet werden, um die .SARIF -Dateien wie gezeigt manuell hochzuladen.

Das Azure DevOps Sarif -Plugin kann integriert werden, um die in den Build -Lauf integrierte Analyse wie gezeigt zu zeigen.

GitLab Sast verwendet zahlreiche Einzelzweckanalysatoren und GO -basierte Konverter, um ein benutzerdefiniertes JSON -Format zu erstellen. Dieses Modell hat den Nachteil der zunehmenden Build -Zeiten, da mehrere Containerbilder heruntergeladen werden sollten und daher nicht für CI -Umgebungen wie Azure -Pipelines, Codebuild und Google Cloudbuild geeignet sind. Außerdem ist die von GitLab verwendete Lizenz nicht openSource, obwohl die Analysatoren lediglich vorhandene OSS -Tools einwickeln!

Mir Swamp ist ein kostenloser Online-Service für die Ausführung von OSS- und kommerziellen statischen Analysen für eine Reihe von Sprachen, die Simillar zu Sast-Scan ausführt. Es gibt ein kostenloses Swamp-in-a-Box-Angebot, aber das Setup ist etwas umständlich. Sie verwenden ein XML -Format namens Schal mit einer Reihe von Perl -basierten Konvertern. Im Gegensatz dazu ist Sarif JSON -basiert und ist für Integration und UI -Zwecke viel einfacher zu arbeiten. Durch die Übernahme von Python ist Sast-Scan für die Anpassung etwas einfach zu bearbeiten.

AppTheat wird von Shiftleft finanziert und unterstützt. Um allgemeine Diskussionen und Vorschläge zu erhalten