salus

Roman Protection의 Goddess의 이름을 따서 명명 된 Salus (경량 보편적 스캐너로서의 보안 자동화)는 보안 스캐너의 실행을 조정하는 도구입니다. Docker 데몬을 통해 저장소에서 Salus를 실행할 수 있으며 어떤 스캐너가 관련이 있는지, 실행하고 출력을 제공합니다. 대부분의 스캐너는 컨테이너에 직접 포함하는 다른 성숙한 오픈 소스 프로젝트입니다.

Salus는 CI/CD 파이프 라인에 특히 유용합니다. 대규모 리포지토리에서 스캔을 조정하는 중앙 집중식 장소가되기 때문입니다. 일반적으로 스캐너는 각 프로젝트의 저장소 레벨에서 구성됩니다. 즉, 스캐너가 실행되는 방식을 넓게 변경할 때는 각 저장소를 업데이트해야합니다. 대신 Salus를 업데이트 할 수 있으며 모든 빌드는 즉시 변경 사항을 상속합니다.

Salus는 글로벌 기본값 및 로컬 조정을 허용하는 강력한 구성을 지원합니다. 마지막으로, Salus는 포함 된 패키지 또는 우려 사항과 같은 각 저장소에 대한 메트릭을보고 할 수 있습니다. 이 보고서는 확장 가능한 보안 추적을 위해 인프라에서 중앙에 평가할 수 있습니다.

 # Navigate to the root directory of the project you want to run Salus on
cd /path/to/repo

# Run the following line while in the root directory (No edits necessary)
docker run --rm -t -v $( pwd ) :/home/repo coinbase/salus

• Bandit- Bandit 1.6.2의 실행은 Python 코드의 일반적인 보안 문제를 찾습니다.
• BRAKEMAN -Brakeman 5.3.1의 실행은 Rails 프로젝트에서 취약한 코드를 찾습니다.
• SEMGREP- semgrep 1.0.0의 실행은 AST 수준에서 코드에서 의미 론적 및 구문 패턴을 찾습니다.
• BUNDLEAUDIT- 번들 - 아우 디트 0.8.0의 실행, 루비 보석 의존성에서 CVE를 찾습니다.
• GOSEC- GOSEC 2.11.0의 실행은 GO 코드의 보안 문제를 찾습니다.
• NPM 감사 - 노드 모듈 종속성에서 CVE를 찾는 npm audit 6.14.8 실행.
• 원사 감사 - 노드 모듈 종속성에서 CVE를 찾는 yarn audit 1.22.0 실행.
• PatternSearch- sift 0.9.0의 실행은 위험 할 수 있거나 특정 문자열이 존재해야 할 수있는 프로젝트에서 특정 문자열을 찾습니다.
• Trufflehog TruffleHog 3.19.0의 실행은 유출 된 자격 증명을 찾습니다.
• 화물 감사 -화물 감사 실행 0.14.0 감사화물. Rustsec 자문 데이터베이스에보고 된 보안 취약점이있는 상자 용 파일

Salus는 또한 의존성 파일 및 보고서를 구문 분석합니다. 이는 함대 전체의 종속성을 추적하는 데 유용 할 수 있습니다.

현재 지원되는 언어는 다음과 같습니다.

• 루비
• node.js (JavaScript)
• 파이썬
• 가다
• 녹

Salus는 다양한 유형의 환경과 다양한 스캐너에서 작동 할 수 있도록 구성 가능하도록 설계되었습니다. 환경 변수 보간 및 계단식 구성을 지원하며 HTTP에 대한 구성 및 게시물을 읽을 수 있습니다.

때로는 특정 CVE, 규칙, 테스트, 그룹, 디렉토리를 무시하거나 스캐너의 기본 구성을 수정해야합니다. Docs/Scanners 디렉토리는 Salus가 지원하는 각 스캐너에 대해 수행하는 방법을 설명합니다.

현재 지원되지 않는 사용자 정의 스캐너를 구축하거나 더 많은 언어를 지원하려면이 방법을 사용하여 사용자 정의 살 루스 이미지를 구축 할 수 있습니다.

Salus는 공개 구를 사용하여 Circleci와 통합 할 수 있습니다. 모든 Salus 구성 옵션이 지원되며 기본값은 Salus 자체와 동일합니다.

예제 circleci config.yml :

 version: 2.1

orbs:
  salus: federacy/[email protected]

workflows:
  main:
    jobs:
      - salus/scan

ORB 문서

Salus는 Github 동작과 함께 사용할 수 있습니다.

예 .github/workflows/main.yml :

 on: [push]

jobs:
  salus_scan_job:
    runs-on: ubuntu-latest
    name: Salus Security Scan Example
    steps:
    - uses: actions/checkout@v1
    - name: Salus Scan
      id: salus_scan
      uses: federacy/[email protected]

Github 액션 문서

주어진 CI의 경우 구성 파일을 업데이트하여 Salus를 실행하십시오. 원 안에는 다음과 같이 보일 것입니다.

docker run --rm -t -v $( pwd ) :/home/repo coinbase/salus

Coinbase/Salus는 Docker 이미지를 당깁니다

이 프로젝트에 대한 기여는 매우 환영하며, 우리 가이 시점까지 수행 한 작업이 보안/개발 커뮤니티가 전체적으로 모여 모든 사람의 인프라의 보안을 개선 할 수 있도록하는 기초 역할을하기를 진심으로 희망합니다.

개발 환경을 설정하거나 Salus의 아키텍처에 대한 자세한 내용을 읽을 수 있습니다.

Salus에 새 스캐너를 추가하는 단계를 찾을 수도 있습니다.

이 프로젝트는 Apache 2.0 라이센스의 조건에 따라 오픈 소스를 사용할 수 있습니다.