enlightn

Piense en la iluminación como su consultor de rendimiento y seguridad. ¡Enlightn "revisará" las configuraciones de su código y servidor, y le brindará recomendaciones procesables para mejorar el rendimiento, la seguridad y la confiabilidad!

La versión Enlightn OSS (Software de código abierto) tiene 66 comprobaciones automatizadas que escanean su código de aplicación, configuraciones de servidor web y rutas para identificar cuellos de botella de rendimiento, posibles vulnerabilidades de seguridad y problemas de confiabilidad del código.

Enlightn Pro (Commercial) está disponible para su compra en el sitio web de Enlightn y tiene 64 cheques automatizados adicionales (total de 131 cheques ).

• Rendimiento de ganancias rápidas (incorporadas en Laravel): almacenamiento en caché de ruta, almacenamiento en caché de configuración, etc.
• ⏳ Identificación de cuello de botella de rendimiento: hinchazón de middleware, identificación de consultas lentas, duplicadas y n+1, etc.
• ? ️ Servir activos: minificación, encabezados de caché, CDN y encabezados de compresión.
• ? ️ Ajuste de infraestructura: Opcache, relación de accesorios de caché, sockets Unix para configuraciones de servidores individuales, etc.
• ? Elegir el controlador correcto: elegir la sesión correcta, la cola y los controladores de caché para su aplicación.
• ? Buenas prácticas: bases de datos REDIS separadas para bloqueos, no instale dependencias de Dev en producción, etc.

• Seguridad básica: desactivar la depuración de la aplicación en producción, clave de aplicación, protección CSRF, acelerador de inicio de sesión, resistencia hash, etc.
• ? Seguridad de cookies y gestión de sesiones: cifrado de cookies, atributos seguros de cookies, tiempos de espera de sesión, etc.
• ? Asignación de masa: detección de vulnerabilidades de asignación de masa, modelos no guardados, etc.
• ☢️ Ataques de inyección SQL: Detección de inyección SQL en bruto, nombre de columna inyección SQL, inyección de reglas de validación, etc.
• Encabezados de seguridad: XSS, HSTS, Chejejacking y encabezados de protección MIME.
• ? Cargas de archivos sin restricciones y ataques de DOS: detección de directorio transversal, DOS de almacenamiento, cargas de archivos sin restricciones, etc.
• ? Ataques de inyección y phishing: detección de inyección de comando, inyección del host, inyección de objetos, redirección abierta, etc.
• ? Gestión de dependencias: escaneo de vulnerabilidad de backend y frontend, verificaciones de dependencia estables y actualizadas, licencias, etc.

• ? Confiabilidad del código y detección de errores: llamadas de función no válidas, llamadas de método, compensaciones, importaciones, declaraciones de devolución, errores de sintaxis, relaciones de modelo no válidas, etc.
• ? Verificaciones de salud: controles de salud para caché, DB, permisos de directorio, migraciones, espacio en disco, enlaces simbólicos, redis, etc.
• Detección de configuraciones erróneas: prefijo de caché, tiempo de espera de colas, tiempo de espera de trabajo fallido, planes de aprovisionamiento de horizonte, política de desalojo, etc.
• ? Rutas muertas y código muerto: detección de rutas muertas y código muerto/inalcanzable.
• ? Buenas prácticas: almacenamiento de caché, scripts de compositor, variables Env, evitar globales y superglobals, etc.

Cada uno de los 131 cheques disponibles está bien documentados. Puede encontrar la documentación completa aquí.

NOTA: La misma matriz de compatibilidad se aplica para las versiones de Enlightn Pro.

Puede instalar CoLightn en su proyecto utilizando el Composer Package Manager:

composer require enlightn/enlightn

Después de instalar Ollightn, puede publicar sus activos utilizando el proveedor: Publicar el comando artesanal:

php artisan vendor:publish --tag=enlightn

NOTA: Si necesita instalar CoLLEDN PRO, visite la documentación en el sitio web de Enlightn aquí.

Después de instalar Enlightn, simplemente ejecute el comando de enlightn Artisan para ejecutar Enlightn:

php artisan enlightn

Puede agregar el indicador --report , si desea ver sus informes en la interfaz de usuario web de Enlightn además del terminal:

php artisan enlightn --report

Si desea ejecutar clases de analizador específicas, puede especificarlas como argumentos opcionales:

php artisan enlightn Enlightn \ Enlightn \ Analyzers \ Security \ CSRFAnalyzer Enlightn \ EnlightnPro \ Analyzers \ Security \ DirectoryTraversalAnalyzer

Tenga en cuenta que los nombres de la clase deben estar completamente calificados y escaparse con cortes dobles como se indicó anteriormente.

Si desea obtener la experiencia completa de la iluminación, se recomienda que al menos ejecute la iluminación una vez en producción. Esto se debe a que varios de los cheques de Illightn son específicos del entorno. Por lo tanto, solo pueden activarse cuando su entorno de aplicaciones es la producción.

En caso de que no desee ejecutar en producción, puede simular un entorno de producción configurando su App_env en producción, configurando servicios y configuración lo más cerca posible de producción y ejecutando su script de implementación de producción a nivel local. Luego ejecute el comando artesanal de la luz.

De manera predeterminada, el comando enlightn artesanal resalta las rutas de archivo, los números de línea asociados y un mensaje para cada verificación fallida. Si desea mostrar mensajes de error detallados para cada línea, puede usar la opción --details :

php artisan enlightn --details

Si desea integrar a CoNlightn con su CI, simplemente puede activar la opción --ci al ejecutar Enlightn en su herramienta CI/CD:

php artisan enlightn --ci

Puede agregar el indicador --report si desea ver sus informes de CI en la interfaz de usuario web de Enlightn. Recuerde agregar las credenciales de su proyecto a su archivo config/enlightn.php como se explica aquí.

php artisan enlightn --ci --report

Enlightn Pre-Configuras que los analizadores se pueden ejecutar en modo CI para usted. Por lo tanto, el comando anterior excluye los analizadores que necesitan una configuración completa para ejecutarse (por ejemplo, analizadores utilizando análisis dinámico).

Para obtener más información sobre la integración de CI, consulte la documentación de la iluminación.

A veces, especialmente en entornos CI, es posible que desee declarar la lista actualmente reportada de errores como la "línea de base". Esto significa que los errores actuales no se informarán en ejecuciones posteriores y solo se marcarán nuevos errores.

Para generar la línea de base automáticamente, puede ejecutar el comando enlightn:baseline Artisan:

php artisan enlightn:baseline

Si desea ejecutar este comando en modo CI, puede usar la opción --ci :

php artisan enlightn:baseline --ci

Para obtener más información sobre cómo establecer una línea de base, consulte los documentos.

Enlightn ofrece un hermoso panel de interfaz de usuario web donde puede ver sus informes de Enlightn activados desde su CI o ejecución de comando programado.

La interfaz de usuario web es gratuita para todos los usuarios e incluye lo siguiente:

1. Estadísticas sobre porcentajes de aprobación (en general y por categoría).
2. Todas las verificaciones fallidas junto con los fragmentos de código relacionados con las verificaciones (si las hay).
3. Métricas en el número de problemas nuevos y resueltos (en comparación con el informe más reciente que se ejecuta en la misma URL, entorno y proyecto de la aplicación).

Para obtener acceso a la interfaz de usuario web, todo lo que necesita hacer es registrarse de forma gratuita en el sitio web de Enlightn y seguir las instrucciones mencionadas aquí.

Además de integrar la iluminación con su herramienta de CI/CD, es una buena práctica programar una ejecución de iluminación en una frecuencia regular (como diario o semanal) como así:

 // In your app/Console/Kernel.php file:

/**
 * Define the application's command schedule.
 *
 * @param  IlluminateConsoleSchedulingSchedule  $schedule
 * @return void
 */
protected function schedule ( Schedule $ schedule )
{
    $ schedule -> command ( ' enlightn --report ' )-> runInBackground ()-> daily ()-> at ( ' 01:00 ' );
}

Esto le permitirá monitorear las verificaciones de análisis dinámicos de la iluminación, que generalmente se excluyen de CI. Los informes se pueden ver en la interfaz de usuario de la web de iluminación.

Enlightn ofrece un bot GitHub que puede preparar un informe que resalta las verificaciones fallidas y también agregue comentarios de revisión para solicitudes de extracción en las líneas de código que introducen nuevos problemas.

Para integrarse con el Bot de Enlightn GitHub, consulte los documentos.

Todos los cheques que fallan incluirán una descripción de por qué fallan junto con las líneas de código asociadas (si corresponde) y un enlace a la documentación para la verificación específica.

Finalmente, después de que se han ejecutado todos los cheques, el comando enlightn Artisan generará una tarjeta de calificaciones, que contiene información sobre cuántos y qué porcentaje de cheques pasaron, fallaron o fueron omitidos.

Las verificaciones indicadas como "no aplicables" no eran aplicables a su aplicación específica y se omitieron. Por ejemplo, el analizador CSRF no es aplicable para aplicaciones sin estado.

Las verificaciones informadas en la fila de "error" indican los analizadores que fallaron con excepciones durante el análisis. Normalmente, esto no debería suceder, pero si lo hace, el mensaje de error asociado se mostrará y puede tener algo que ver con su aplicación.

Una buena práctica sería ejecutar a la luz cada vez que esté implementando código o presionando una nueva versión. Se recomienda integrar a la cofresión con su herramienta CI/CD para que se active para cada empuje o nueva versión.

Además de las verificaciones de CI automatizadas, también debe ejecutar la CoULDEN en una frecuencia regular utilizando un comando de consola programado como se describió anteriormente. Esto le permitirá monitorear las comprobaciones de análisis dinámico, que generalmente se excluyen de CI.

Solo los sistemas MacOS y Linux son compatibles con la iluminación. Windows no es compatible actualmente.

¡Gracias por considerar contribuir a la iluminación! La guía de contribución se puede encontrar aquí.

Nuestra política de soporte se puede encontrar en la documentación de la iluminación.

El OSS de Enlightn (en este repositorio de GitHub) tiene licencia bajo la licencia LGPL V3 (o posterior).

Ollightn Pro tiene licencia bajo una licencia comercial.