zarn
Zarn
Zarn
최신 PERL 애플리케이션에 대한 가벼운 정적 코드 보안 분석
정적 분석을 수행하는 Zarn은 가능한 취약점을 식별 할 수 있습니다.이 목적을 위해 각 파일은 AST 분석을 사용하여 구문 분석하여 위험을 제시하는 오염 된 추적 프로세스를 인식하고 악의적 인 상담원이 문제의 방법을 대상으로 할 수 있는지 확인하기 위해 착취 가능 여부를 확인하기 위해 오염 된 추적 프로세스를 실행합니다.
현재 Zarn은 단일 파일 컨텍스트 분석을 수행하므로 분석중인 파일과 직접 관련이없는 취약점을 식별 할 수 없습니다. 그러나 앞으로는 분석중인 파일과 직접 관련이없는 취약점을 식별하기 위해 통화 그래프 분석을 구현할 계획입니다.
Zarn at : 최신 PERL 앱을위한 가벼운 정적 보안 분석 도구에 대한 전체 출판물을 읽을 수 있습니다.
# Download
$ git clone https://github.com/htrgouvea/zarn && cd zarn
# Install libs dependencies
$ sudo cpanm --installdeps .$ perl zarn.pl --rules rules/quick-wins.yml --source ../nozaki --sarif report.sarif
[warn] - FILE:../nozaki/lib/Functions/Helper.pm Potential: Timing Attack.
[vuln] - FILE:../nozaki/lib/Engine/Orchestrator.pm Potential: Path Traversal.
[vuln] - FILE:../nozaki/lib/Engine/Orchestrator.pm Potential: Path Traversal.
[warn] - FILE:../nozaki/lib/Engine/FuzzerThread.pm Potential: Timing Attack. rules :
- id : ' 0001 '
category : info
name : Debug module enabled
message : Debug modules can expose sensitive information and potentially create security vulnerabilities.
sample :
- Dumper
- id : ' 0002 '
category : vuln
name : Code Injection
message : Occur when untrusted data is executed as code, allowing attackers to run arbitrary commands on the server.
sample :
- system
- eval
- exec
- qx
- id : ' 0003 '
category : vuln
name : Path Traversal
message : Occur when user input is not properly sanitized, allowing attackers to access files and directories outside of the intended directory structure.
sample :
- open name : ZARN SAST
on :
push :
branches : [ "main" ]
pull_request :
branches : [ "main" ]
schedule :
- cron : " 28 23 * * 1 "
jobs :
zarn :
name : Security Static Analysis with ZARN
runs-on : ubuntu-20.04
steps :
- name : Checkout code
uses : actions/checkout@v4
- name : Perform Static Analysis
uses : htrgouvea/[email protected]
- name : Send result to Github Security
uses : github/codeql-action/upload-sarif@v3
with :
sarif_file : result.sarif귀하의 기여와 제안은 진심으로 ♥ 환영합니다. 기여 가이드 라인을 참조하십시오. 문제 페이지와 보안 문제를 통해 버그를보고하십시오. 여기에서 보안 정책을 참조하십시오. (project this)이 프로젝트는이 스타일 가이드를 따릅니다.
이 작업은 MIT 라이센스에 따라 라이센스가 부여됩니다.
