salus

ローマの女神保護の女神にちなんで名付けられたSalus（軽量のユニバーサルスキャナーとしてのセキュリティ自動化）は、セキュリティスキャナーの実行を調整するためのツールです。 Docker Daemonを介してリポジトリでSalusを実行でき、どのスキャナーが関連するかを決定し、それらを実行して出力を提供します。ほとんどのスキャナーは、コンテナに直接含める他の成熟したオープンソースプロジェクトです。

Salusは、CI/CDパイプラインに特に役立ちます。これは、大量のリポジトリ全体でスキャンを調整するための集中的な場所になるためです。通常、スキャナーは各プロジェクトのリポジトリレベルで構成されます。これは、スキャナーの実行方法に組織が大きく変更される場合、各リポジトリを更新する必要があることを意味します。代わりに、Salusを更新することができ、すべてのビルドは即座に変更を継承します。

Salusは、グローバルなデフォルトとローカルの調整を可能にする強力な構成をサポートしています。最後に、Salusは、どのパッケージが含まれているか、どの懸念が存在するかなど、各リポジトリにメトリックを報告できます。これらのレポートは、スケーラブルなセキュリティ追跡を可能にするために、インフラストラクチャで中央に評価できます。

 # Navigate to the root directory of the project you want to run Salus on
cd /path/to/repo

# Run the following line while in the root directory (No edits necessary)
docker run --rm -t -v $( pwd ) :/home/repo coinbase/salus

• Bandit -Bandit 1.6.2の実行は、Pythonコードの一般的なセキュリティ問題を探します。
• Brakeman -Brakeman 5.3.1の実行は、Railsプロジェクトで脆弱なコードを探します。
• SEMGREP- semgrep 1.0.0の実行。これは、ASTレベルでコードのセマンティックおよび構文パターンを探します。
• Bundleaudit-バンドルオーディット0.8.0の実行は、Ruby Gem依存関係のCVEを探します。
• GOSEC -GOSEC 2.11.0の実行は、GOコードのセキュリティ問題を探します。
• NPM監査 - ノードモジュールの依存関係でCVEを探すnpm audit 6.14.8の実行。
• YARN監査 - ノードモジュールの依存関係でCVEを探すyarn audit 1.22.0の実行。
• PatternSearch sift 0.9.0の実行は、危険なプロジェクトで特定の文字列を探したり、特定の文字列を存在することを要求する可能性があります。
• Trufflehog- TruffleHog 3.19.0の実行は、リークされた資格情報を探します。
• 貨物監査 - 貨物監査の実行0.14.0監査貨物。RustSecアドバイザリーデータベースに報告されたセキュリティの脆弱性を備えたクレートのロックファイル

Salusは依存関係ファイルも解析し、どのライブラリとバージョンが使用されているかを報告します。これは、艦隊全体の依存関係を追跡するのに役立ちます。

現在サポートされている言語は次のとおりです。

• ルビー
• node.js（javascript）
• Python
• 行く
• さび

Salusは、さまざまな種類の環境やさまざまなスキャナーで機能できるように、高度に構成可能になるように設計されています。環境可変補間とカスケード構成をサポートし、HTTPを介して構成と投稿レポートを読み取ることができます。

特定のCVE、ルール、テスト、グループ、ディレクトリを無視したり、スキャナーのデフォルト構成を変更する必要がある場合があります。 Docs/Scanners Directoryは、Salusがサポートする各スキャナーに対してその方法を説明しています。

カスタムスキャナーを構築するか、現在サポートされていない言語をサポートする場合は、この方法でカスタムサルス画像を構築する方法を使用できます。

サルスは、パブリックオーブを使用してcircleciと統合できます。すべてのSalus構成オプションはサポートされており、デフォルトはSalus自体と同じです。

例circleci config.yml ：

 version: 2.1

orbs:
  salus: federacy/[email protected]

workflows:
  main:
    jobs:
      - salus/scan

ORBドキュメント

Salusは、GitHubアクションでも使用できます。

例.github/workflows/main.yml ：

 on: [push]

jobs:
  salus_scan_job:
    runs-on: ubuntu-latest
    name: Salus Security Scan Example
    steps:
    - uses: actions/checkout@v1
    - name: Salus Scan
      id: salus_scan
      uses: federacy/[email protected]

GitHubアクションドキュメント

指定されたCIについては、salusを実行するように構成ファイルを更新します。円では、次のようになります。

docker run --rm -t -v $( pwd ) :/home/repo coinbase/salus

Coinbase/SalusはDocker画像を引っ張ります

このプロジェクトへの貢献は大歓迎です。この点で行った仕事が、セキュリティ/開発コミュニティ全体が集まって、すべてのインフラストラクチャのセキュリティを改善するための基盤としてのみ機能することを心から願っています。

開発環境のセットアップ、またはSalusのアーキテクチャについて詳しく読むことができます。

サルスに新しいスキャナーを追加する手順を見つけることもできます

このプロジェクトは、Apache 2.0ライセンスの条件の下でオープンソースを利用できます。