insider

Ce document est également disponible en Portuguese .

Insider est le projet OSS CLI de l'équipe de sécurité des applications d'initié pour la communauté.

Insider se concentre sur la couverture du Top 10 de l'OWASP, pour effectuer une analyse du code source pour trouver des vulnérabilités directement dans le code source, axée sur un logiciel agile et facile à implémenter dans votre pipeline DevOps.

Nous prenons actuellement en charge les technologies suivantes: Java (Maven et Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C # et JavaScript (Node.js).

Il existe une action GitHub qui vous permet de protéger votre référentiel avec un initié, gratuit, facile à intégrer et sans friction. C'est le moyen le plus facile de protéger votre code directement sur votre référentiel. Jetez un œil - Insider-Action

Vous pouvez installer Insider à l'aide de binaires précompilés ou à partir de la source.

Nous avons précompilé des binaires pour les systèmes opérationnels Linux, Windows et MacOS que vous pouvez trouver ici.

Amusez-vous!

 insider is the CLI project from the Insider Application Security Team for the community

Usage:
  -exclude value
        Patterns to exclude directory or files to analyze. Can be used multiple times
  -jobs int
        Number of analysis to execute in parallel (default 4)
  -no-html
        Skips the report generation in the HTML format
  -no-json
        Skips the report generation in the JSON format
  -quiet
        No output logs of execution
  -security float
        Set the Security level, values between 0 and 100 (default 0)
  -target string
        Specify where to look for files to run the specific ruleset
  -tech string
        Specify which technology ruleset to load
  -v    Enable verbose output
  -version
        Show version and quit with exit code 0

Supported technologies:
        android
        java
        ios
        javascript
        csharp

Example of use:
        # Run JavaScript analysis on specific directoty
        insider -tech javascript -target <directory>

        # Run Android analysis on specific directoty and ignore html and json report
        insider -tech android -target <directory> -no-html -no-json

        # Run Java analysis on specific directoty with a base security value to fail
        insider -tech java -target <directory> -security 20

        # Run JavaScript analysis on specific directoty and exclude node_modules and test files
        insider -tech javascript -target <directory> -exclude tests/* -exclude node_modules/*

 # Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz 
$ chmod +x insider
$ ./insider --tech javascript  --target < projectfolder >

Vous pouvez également exécuter insider dans un conteneur. Il vous suffit de monter la cible dans un volume:

$ docker run --rm -v $( pwd ) :/target-project insidersec/insider -tech < tech > -target /target-project

• Vos contributions et suggestions sont chaleureusement ♥ Bienvenue. Voir ici les directives de contribution. S'il vous plaît, signalez les bogues via la page des problèmes. Voir ici la politique de sécurité pour les problèmes de sécurité des rapports. (✿ ◕‿◕)

Pour construire Insider à partir de Source, vous aurez besoin au moins de fonctionner la version 1.13.

$ go get github.com/insidersec/insider/cmd/insider

• Ce travail est autorisé sous le MIT.