enlightn

Enlightn을 성과 및 보안 컨설턴트로 생각하십시오. Enlightn은 코드 및 서버 구성을 "검토"하고 성능, 보안 및 안정성 향상에 대한 실행 가능한 권장 사항을 제공합니다!

Enlightn OSS (오픈 소스 소프트웨어) 버전에는 응용 프로그램 코드, 웹 서버 구성 및 경로를 스캔하여 성능 병목 현상, 가능한 보안 취약점 및 코드 안정성 문제를 확인하는 66 개의 자동 확인이 있습니다.

Enlightn Pro (Commercial)는 Enlightn 웹 사이트에서 구매할 수 있으며 추가 64 개의 자동 수표 (총 131 개의 수표 )가 있습니다.

• 성능 빠른 승리 (Laravel에서 제작) : 루트 캐싱, 구성 캐싱 등
• Performance 성능 병목 현상 식별 : 미들웨어 부풀어 오르기, 느린, 중복 및 N+1 쿼리 등의 식별.
• ? ️ 서빙 자산 : 미니 화, 캐시 헤더, CDN 및 압축 헤더.
• ? 닐 인프라 튜닝 : Opcache, 캐시 적중률, 단일 서버 설정을위한 Unix 소켓 등
• ? 올바른 드라이버 선택 : 앱의 올바른 세션, 큐 및 캐시 드라이버 선택.
• ? 모범 사례 : 잠금에 대한 별도의 Redis 데이터베이스, 생산에 Dev 종속성을 설치하지 마십시오.

• 기본 보안 : 생산, 앱 키, CSRF 보호, 로그인 스로틀링, 해시 강도 등의 앱 디버그를 끄십시오.
• ? 쿠키 보안 및 세션 관리 : 쿠키 암호화, 보안 쿠키 속성, 세션 타임 아웃 등
• ? 질량 할당 : 질량 할당 취약성, 보호되지 않은 모델 등의 탐지.
• ☢️ SQL 주입 공격 : 원시 SQL 주입 감지, 열 이름 SQL 주입, 검증 규칙 주입 등
• 보안 헤더 : XSS, HST, 클릭 재킹 및 마임 보호 헤더.
• ? 제한없는 파일 업로드 및 DOS 공격 : 디렉토리 트래버스 감지, 스토리지 DOS, 무제한 파일 업로드 등
• ? 주입 및 피싱 공격 : 명령 주입, 호스트 주입, 물체 주입, 개방 리디렉션 등의 감지.
• ? 종속성 관리 : 백엔드 및 프론트 엔드 취약성 스캔, 안정 및 최신 종속성 검사, 라이센스 등

• ? 코드 안정성 및 버그 감지 : 잘못된 기능 호출, 메소드 호출, 오프셋, 가져 오기, 반환 문, 구문 오류, 유효하지 않은 모델 관계 등
• ? 건강 검사 : 캐시, DB, 디렉토리 권한, 마이그레이션, 디스크 공간, 심볼릭 링크, Redis 등의 건강 검사
• 오해 감지 : 캐시 접두사, 큐 타임 아웃, 실패한 작업 시간 초과, 지평선 프로비저닝 계획, 퇴거 정책 등
• ? 죽은 경로 및 죽은 코드 : 죽은 경로 감지 및 죽은/도달 할 수없는 코드.
• ? 모범 사례 : 캐시 파열, 작곡가 스크립트, ENV 변수, 글로벌 및 슈퍼 글로벌 방지 등

사용 가능한 131 개의 수표 각각은 잘 문서화되어 있습니다. 여기에서 전체 문서를 찾을 수 있습니다.

참고 : 동일한 호환성 매트릭스는 Enlightn Pro 버전에 적용됩니다.

Composer 패키지 관리자를 사용하여 Enlightn을 프로젝트에 설치할 수 있습니다.

composer require enlightn/enlightn

Enlightn을 설치 한 후 공급 업체 : Publish Artisan Command를 사용하여 자산을 게시 할 수 있습니다.

php artisan vendor:publish --tag=enlightn

참고 : Enlightn Pro를 설치 해야하는 경우 Enlightn 웹 사이트의 문서를 방문하십시오.

Enlightn을 설치 한 후 enlightn Artisan 명령을 실행하여 Enlightn을 실행하십시오.

php artisan enlightn

터미널 외에 Enlightn Web UI에서 보고서를 보려면 --report 플래그를 추가 할 수 있습니다.

php artisan enlightn --report

특정 분석기 클래스를 실행하려면 선택적 인수로 지정할 수 있습니다.

php artisan enlightn Enlightn \ Enlightn \ Analyzers \ Security \ CSRFAnalyzer Enlightn \ EnlightnPro \ Analyzers \ Security \ DirectoryTraversalAnalyzer

클래스 이름은 위와 같이 이중 슬래시로 완전히 자격을 갖추고 탈출해야합니다.

완전한 Enlightn 경험을 얻으려면 최소한 한 번의 Enlight를 한 번만 운영하는 것이 좋습니다. Enlightn의 수표 중 일부는 환경에 따라 다르기 때문입니다. 따라서 앱 환경이 생산 할 때만 유발 될 수 있습니다.

생산을 실행하고 싶지 않은 경우 APP_ENV를 생산으로 설정하고 가능한 한 생산에 가깝게 서비스 및 구성을 설정하고 생산 배포 스크립트를 로컬로 운영하여 생산 환경을 시뮬레이션 할 수 있습니다. 그런 다음 Enlightn 장인 명령을 실행하십시오.

기본적으로 enlightn Artisan 명령은 파일 경로, 관련 줄 번호 및 각 실패 점검에 대한 메시지를 강조합니다. 각 라인에 대한 자세한 오류 메시지를 표시하려면 --details 사제 옵션을 사용할 수 있습니다.

php artisan enlightn --details

Enlightn을 CI와 통합하려면 CI/CD 도구에서 Enlightn을 실행할 때 --ci 옵션을 트리거 할 수 있습니다.

php artisan enlightn --ci

Enlightn Web UI에서 CI 보고서를 보려면 --report 플래그를 추가 할 수 있습니다. 여기에 설명 된대로 config/enlightn.php 파일에 프로젝트 자격 증명을 추가하십시오.

php artisan enlightn --ci --report

CI 모드에서 실행할 수있는 분석기 사전 구성 요소 따라서 위의 명령에는 전체 설정이 필요한 분석기가 제외됩니다 (예 : 동적 분석을 사용하는 분석기).

CI 통합에 대한 자세한 내용은 Enlightn 문서를 참조하십시오.

때로는 특히 CI 환경에서 현재보고 된 오류 목록을 "기준선"으로 선언 할 수 있습니다. 즉, 현재 오류는 후속 실행에서보고되지 않으며 새로운 오류 만 표시됩니다.

기준선을 자동으로 생성하려면 enlightn:baseline Artisan 명령을 실행할 수 있습니다.

php artisan enlightn:baseline

CI 모드 에서이 명령을 실행하려면 --ci 옵션을 사용할 수 있습니다.

php artisan enlightn:baseline --ci

기준선 설정에 대한 자세한 내용은 문서를 참조하십시오.

Enlightn은 아름다운 웹 UI 대시 보드를 제공하여 CI 또는 예정된 명령 실행에서 트리거 된 Enlightn 보고서를 볼 수 있습니다.

웹 UI는 모든 사용자에게 무료이며 다음을 포함합니다.

1. 패스 백분율에 대한 통계 (전체 및 범주 별).
2. 수표와 관련된 코드 스 니펫과 함께 모든 검사가 실패했습니다 (있는 경우).
3. 신규 및 해결 된 문제에 대한 메트릭 (동일한 앱 URL, 환경 및 프로젝트에서 가장 최근의 보고서와 비교하여).

웹 UI에 액세스하려면 Enlightn 웹 사이트에 무료로 가입하고 여기에 언급 된 지침을 따르기 만하면됩니다.

CI/CD 도구와 Enlightn을 통합하는 것 외에도, Daily 또는 Weekly와 같은 일반 주파수에서 Enlightn Run을 예약하는 것이 좋습니다.

 // In your app/Console/Kernel.php file:

/**
 * Define the application's command schedule.
 *
 * @param  IlluminateConsoleSchedulingSchedule  $schedule
 * @return void
 */
protected function schedule ( Schedule $ schedule )
{
    $ schedule -> command ( ' enlightn --report ' )-> runInBackground ()-> daily ()-> at ( ' 01:00 ' );
}

이를 통해 Enlightn의 동적 분석 검사를 모니터링 할 수 있으며, 이는 일반적으로 CI에서 제외됩니다. 보고서는 Enlightn Web UI에서 볼 수 있습니다.

Enlightn은 실패한 검사를 강조하는 보고서를 준비 할 수있는 Github 봇을 제공하고 새로운 문제를 도입하는 코드 라인에 대한 풀 요청에 대한 검토 의견을 추가합니다.

Enlightn Github 봇과 통합하려면 문서를 참조하십시오.

실패한 모든 수표에는 관련 코드 라인 (해당되는 경우)과 함께 실패한 이유에 대한 설명과 특정 수표에 대한 문서 링크가 포함됩니다.

마지막으로, 모든 수표가 실행 된 후, enlightn Artisan Command는 보고서 카드를 출력합니다. 여기에는 수표의 수와 비율이 얼마나 많이 통과, 실패 또는 건너 뛰었는지에 대한 정보가 포함되어 있습니다.

"적용 할 수 없음"으로 표시된 수표는 특정 응용 프로그램에 적용 할 수 없으며 건너 뜁니다. 예를 들어, CSRF 분석기는 무국적 응용 프로그램에 적용 할 수 없습니다.

"오류"행에보고 된 점검은 분석 중에 예외로 실패한 분석기를 나타냅니다. 일반적으로 이런 일이 발생하지 않아야하지만 관련 오류 메시지가 표시되며 응용 프로그램과 관련이있을 수 있습니다.

모범 사례는 코드를 배포하거나 새 릴리스를 추진할 때마다 Enlightn을 운영하는 것입니다. Enlightn을 CI/CD 도구와 통합하여 모든 푸시 또는 새 릴리스마다 트리거되도록 권장됩니다.

자동화 된 CI 검사 외에도 위에서 설명한대로 예정된 콘솔 명령을 사용하여 일반 주파수에서 Enlightn을 운영해야합니다. 이렇게하면 일반적으로 CI에서 제외되는 동적 분석 검사를 모니터링 할 수 있습니다.

MACOS 및 Linux 시스템 만 Enlightn을 위해 지원됩니다. Windows는 현재 지원되지 않습니다.

Enlightn에 기여하는 것을 고려해 주셔서 감사합니다! 기여 가이드는 여기에서 찾을 수 있습니다.

우리의 지원 정책은 Enlightn 문서에서 찾을 수 있습니다.

Enlightn OSS (이 GitHub Repo)는 LGPL V3 (또는 이후) 라이센스에 따라 라이센스가 부여됩니다.

Enlightn Pro는 상업용 라이센스에 따라 라이센스가 부여됩니다.