enlightn

Pense na iluminação como seu consultor de desempenho e segurança. A iluminação "revisará" suas configurações de código e servidor e fornecerá recomendações acionáveis ​​para melhorar o desempenho, a segurança e a confiabilidade!

A versão Illightn OSS (Software de código aberto) possui 66 verificações automatizadas que digitalizam seu código de aplicativo, configurações e rotas do servidor da Web para identificar gargalos de desempenho, possíveis vulnerabilidades de segurança e problemas de confiabilidade de código.

O Illightn Pro (comercial) está disponível para compra no site da Ilumn e possui 64 cheques automatizados adicionais (total de 131 cheques ).

• Desempenho Vitadas rápidas (embutidas em Laravel): cache de rota, cache de configuração, etc.
• ⏳ Identificação de gargalo de desempenho: bloat de middleware, identificação de consultas lentas, duplicadas e n+1, etc.
• ? Sustt ativos: minificação, cabeçalhos de cache, CDN e cabeçalhos de compressão.
• ? Aste Ajuste de infraestrutura: opcache, proporção de acerto de cache, soquetes UNIX para configurações de servidor único, etc.
• ? Escolhendo o driver certo: Escolha a sessão certa, a fila e os drivers de cache para o seu aplicativo.
• ? Boas práticas: separar bancos de dados Redis para bloqueios, não instale dependências dev na produção, etc.

• Segurança básica: desative a depuração de aplicativos na produção, chave de aplicativo, proteção de CSRF, limitação de login, força de hash etc.
• ? Gerenciamento de segurança e sessão de cookies: criptografia de cookies, atributos seguros de cookies, tempo limite da sessão, etc.
• ? Atribuição de massa: Detecção de vulnerabilidades de atribuição de massa, modelos não guardados, etc.
• Ataques Ataques de injeção de SQL: detecção de injeção de SQL bruta, nome da coluna SQL Injeção, injeção de regra de validação, etc.
• Cabeçalhos de segurança: XSS, HSTs, clickjacking e cabeçalhos de proteção MIME.
• ? Uploads de arquivos irrestritos e ataques do DOS: Detecção de travessia de diretório, DOS de armazenamento, uploads de arquivos irrestritos, etc.
• ? Ataques de injeção e phishing: detecção de injeção de comando, injeção de hospedeiro, injeção de objetos, redirecionamento aberto etc.
• ? Gerenciamento de dependência: varredura de vulnerabilidade de back-end e front-end, verificações estáveis ​​e atualizadas de dependência, licenciamento etc.

• ? Confiabilidade do código e detecção de bugs: chamadas de função inválidas, chamadas de método, compensações, importações, declarações de retorno, erros de sintaxe, relações de modelos inválidos etc.
• ? Verificações de saúde: verificações de saúde para cache, banco de dados, permissões de diretório, migrações, espaço em disco, links simbólicos, redis, etc.
• Detectando errônea: prefixo de cache, tempo limite da fila, tempo de tempo fracassado, planos de provisionamento de horizonte, política de despejo etc.
• ? Rotas mortas e código morto: detecção de rotas mortas e código morto/inacessível.
• ? Boas práticas: rebentamento de cache, scripts compositores, variáveis ​​Env, evitando globais e superglobais, etc.

Cada um dos 131 cheques disponíveis está bem documentado. Você pode encontrar a documentação completa aqui.

NOTA: A mesma matriz de compatibilidade se aplica às versões do Illightn Pro.

Você pode instalar a iluminação em seu projeto usando o compositor Package Manager:

composer require enlightn/enlightn

Depois de instalar a iluminação, você pode publicar seus ativos usando o fornecedor: publicar comando artesão:

php artisan vendor:publish --tag=enlightn

NOTA: Se você precisar instalar o Illightn Pro, visite a documentação no site da Ilumin aqui.

Depois de instalar a iluminação, basta executar o comando artesanal enlightn para executar a iluminação:

php artisan enlightn

Você pode adicionar a bandeira --report , se desejar visualizar seus relatórios na interface da web ilumin, além do terminal:

php artisan enlightn --report

Se você deseja executar classes específicas do analisador, pode especificá -las como argumentos opcionais:

php artisan enlightn Enlightn \ Enlightn \ Analyzers \ Security \ CSRFAnalyzer Enlightn \ EnlightnPro \ Analyzers \ Security \ DirectoryTraversalAnalyzer

Observe que os nomes da classe devem ser totalmente qualificados e escapar com barras duplas como acima.

Se você deseja obter a experiência completa da iluminação, é recomendável que você seja pelo menos a iluminação uma vez em produção. Isso ocorre porque várias verificações da iluminação são específicas do ambiente. Portanto, eles só podem ser acionados quando o ambiente do seu aplicativo é a produção.

Caso você não queira executar na produção, você pode simular um ambiente de produção definindo seu app_env para a produção, configurando serviços e configurar o mais próximo possível da produção e executar seu script de implantação de produção localmente. Em seguida, execute o comando artesanal iluminado.

Por padrão, o comando artesão enlightn destaca os caminhos de arquivo, números de linha associados e uma mensagem para cada verificação falhada. Se você deseja exibir mensagens de erro detalhadas para cada linha, pode usar a opção --details :

php artisan enlightn --details

Se você deseja integrar a iluminação ao seu CI, basta acionar a opção --ci ao executar a iluminação na sua ferramenta CI/CD:

php artisan enlightn --ci

Você pode adicionar o sinalizador --report se desejar visualizar seus relatórios de CI na interface do usuário da Web Illightn. Lembre -se de adicionar suas credenciais do projeto ao seu arquivo config/enlightn.php conforme explicado aqui.

php artisan enlightn --ci --report

Iluminn pré-configurações cujos analisadores podem ser executados no modo CI para você. Portanto, o comando acima exclui analisadores que precisam de uma configuração completa para executar (por exemplo, analisadores usando análise dinâmica).

Para obter mais informações sobre a integração do CI, consulte a documentação da iluminação.

Às vezes, especialmente em ambientes de IC, você pode declarar a lista de erros atualmente relatada como a "linha de base". Isso significa que os erros atuais não serão relatados nas execuções subsequentes e apenas novos erros serão sinalizados.

Para gerar a linha de base automaticamente, você pode executar o comando artesanal enlightn:baseline :

php artisan enlightn:baseline

Se você deseja executar este comando no modo CI, pode usar a opção --ci :

php artisan enlightn:baseline --ci

Para obter mais informações sobre o estabelecimento de uma linha de base, consulte os documentos.

A iluminação oferece um belo painel da interface do usuário da web, onde você pode visualizar seus relatórios iluminados acionados por seu IC ou execuções de comando programadas.

A interface do usuário da web é gratuita para todos os usuários e inclui o seguinte:

1. Estatísticas sobre porcentagens de aprovação (geral e por categoria).
2. Todas as verificações fracassadas, juntamente com trechos de código relacionados às verificações (se houver).
3. Métricas sobre o número de problemas novos e resolvidos (em comparação com o relatório mais recente em execução no mesmo aplicativo URL, ambiente e projeto).

Para obter acesso à interface da usuário da web, tudo o que você precisa fazer é se inscrever gratuitamente no site da Ilumin e seguir as instruções mencionadas aqui.

Além de integrar a iluminação à sua ferramenta de CI/CD, é uma boa prática agendar uma execução esclarecida em uma frequência regular (como diariamente ou semanalmente) como assim:

 // In your app/Console/Kernel.php file:

/**
 * Define the application's command schedule.
 *
 * @param  IlluminateConsoleSchedulingSchedule  $schedule
 * @return void
 */
protected function schedule ( Schedule $ schedule )
{
    $ schedule -> command ( ' enlightn --report ' )-> runInBackground ()-> daily ()-> at ( ' 01:00 ' );
}

Isso permitirá que você monitore as verificações de análise dinâmica do Illightn, que normalmente são excluídas do IC. Os relatórios podem ser visualizados na interface do usuário da Web Illightn.

A Illightn oferece um bot github que pode preparar um relatório destacando verificações falhadas e também adicionar comentários de revisão para solicitações de puxar sobre as linhas de código que introduzem novos problemas.

Para integrar -se ao BOT ILLUGHTN Github, consulte os documentos.

Todas as verificações que falham incluirão uma descrição de por que falharam junto com as linhas associadas de código (se aplicável) e um link para a documentação para a verificação específica.

Finalmente, depois que todos os cheques são executados, o comando artesanal enlightn produzirá um boletim, que contém informações sobre quantos e qual a porcentagem de cheques passados, falhou ou foi ignorada.

Os cheques indicados como "não aplicáveis" não foram aplicáveis ​​ao seu aplicativo específico e foram ignorados. Por exemplo, o analisador CSRF não é aplicável a aplicações sem estado.

As verificações relatadas na linha "Erro" indicam os analisadores que falharam com exceções durante a análise. Normalmente, isso não deve acontecer, mas se acontecer, a mensagem de erro associada será exibida e pode ter algo a ver com seu aplicativo.

Uma boa prática seria executar iluminação toda vez que você estiver implantando código ou pressionando uma nova versão. Recomenda -se integrar a iluminação à sua ferramenta CI/CD para que seja acionada para cada empurrão ou nova versão.

Além das verificações automatizadas de IC, você também deve executar a iluminação em uma frequência regular usando um comando de console programado, conforme descrito acima. Isso permitirá que você monitore as verificações de análise dinâmica, que normalmente são excluídas do IC.

Somente macOS e sistemas Linux são suportados para a iluminação. O Windows atualmente não é suportado.

Obrigado por considerar contribuir para a iluminação! O guia de contribuição pode ser encontrado aqui.

Nossa política de suporte pode ser encontrada na documentação da iluminação.

O OSS OSS (neste repositório do GitHub) é licenciado sob a licença LGPL V3 (ou posterior).

O Illightn Pro é licenciado sob uma licença comercial.