enlightn

Думайте о Enlightn как о вашем консультанте по производительности и безопасности. Onlightn «просматривает» конфигурации кода и сервера и даст вам действенные рекомендации по повышению производительности, безопасности и надежности!

Версия Enlightn OSS (программное обеспечение с открытым исходным кодом) имеет 66 автоматических проверок, которые сканируют код вашего приложения, конфигурации и маршруты веб -сервера для определения узких мест производительности, возможных уязвимостей безопасности и проблем с надежностью кода.

Onlightn Pro (Commercial) доступен для покупки на веб -сайте onlightn и имеет дополнительные 64 автоматизированных чеков (всего 131 чек ).

• Производительность быстрое победы (встроенное в Ларавеле): кэширование маршрута, кэширование конфигурации и т. Д.
• ⏳ Идентификация узкого места производительности: промежуточное программное обеспечение, идентификация медленных, дублирования и n+1 и т. Д.
• ? ️ Активы обслуживания: министерство, заголовки кеша, CDN и заголовки сжатия.
• ️ Настройка инфраструктуры: Opcache, Cache Hit Catio, Sockets Unix для установки отдельных серверов и т. Д.
• ? Выбор подходящего драйвера: выбор правильного сеанса, очереди и драйверов кеша для вашего приложения.
• ? Хорошие практики: отдельные базы данных Redis для блокировки, не устанавливайте зависимости Dev в производство и т. Д.

• Базовая безопасность: отключить отладку приложения в производстве, ключ приложения, защита CSRF, дросселирование входа, прочность хэша и т. Д.
• ? Безопасность cookie и управление сеансами: шифрование файлов cookie, безопасные атрибуты cookie, тайм -ауты и т. Д.
• ? Массовое задание: обнаружение уязвимостей массовых заданий, негарных моделей и т. Д.
• ☢ Атаки инъекций SQL: обнаружение необработанного инъекции SQL, название столбца SQL -инъекция, инъекция правила проверки и т. Д.
• Заголовки безопасности: XSS, HSTS, ClickJacking и Заголовки MIME.
• ? Неограниченные загрузки файлов и атаки DOS: обнаружение прохождения каталога, DOS хранения, неограниченная загрузка файлов и т. Д.
• ? Инъекции и фишинговые атаки: обнаружение инъекции команд, инъекция хозяина, инъекция объекта, открытое перенаправление и т. Д.
• ? Управление зависимостью: Сканирование уязвимости и уязвимого фронта, стабильная и актуальная проверка зависимости, лицензирование и т. Д.

• ? Надежность кода и обнаружение ошибок: неверные вызовы функций, вызовы методов, смещения, импорт, возвратные операторы, синтаксические ошибки, неверные отношения модели и т. Д.
• ? Проверки здоровья: проверки здоровья на кеш, БД, разрешения каталогов, миграции, пространство диска, символики, Redis и т. Д.
• Обнаружение неправильных конфигураций: префикс кеша, тайм -ауты очередей, неудачные тайм -ауты работы, планы обеспечения горизонта, политика выселения и т. Д.
• ? Мертвые маршруты и мертвый код: обнаружение мертвых маршрутов и мертвых/недоступных кодов.
• ? Хорошие практики: разорение кеша, сценарии композиторов, переменные ENV, избегание глобалов и суперглобалов и т. Д.

Каждый из 131 доступных чеков хорошо задокументирован. Вы можете найти полную документацию здесь.

ПРИМЕЧАНИЕ. Та же самая матрица совместимости применяется для версий onlightn Pro.

Вы можете установить onlightn в свой проект, используя диспетчер пакетов Composer:

composer require enlightn/enlightn

После установки onlightn вы можете опубликовать его активы, используя поставщик: публикация Artisan Command:

php artisan vendor:publish --tag=enlightn

Примечание. Если вам нужно установить onlightn Pro, посетите документацию на веб -сайте onlightn здесь.

После установки onlightn просто запустите команду enlightn Artisan, чтобы запустить onlightn:

php artisan enlightn

Вы можете добавить флаг --report вы хотите просмотреть свои отчеты в пользовательском интерфейсе onlightn Web, кроме терминала:

php artisan enlightn --report

Если вы хотите провести конкретные классы анализатора, вы можете указать их как необязательные аргументы:

php artisan enlightn Enlightn \ Enlightn \ Analyzers \ Security \ CSRFAnalyzer Enlightn \ EnlightnPro \ Analyzers \ Security \ DirectoryTraversalAnalyzer

Обратите внимание, что имена классов должны быть полностью квалифицированы и сбежать с двойными чертами, как указано выше.

Если вы хотите получить полный опыт Enlightn, рекомендуется, чтобы вы хотя бы запустили Enlightn один раз в производстве. Это связано с тем, что некоторые из чеков Enlightn являются специфичными для окружающей среды. Таким образом, они могут быть вызваны только тогда, когда в вашей среде приложения является производство.

Если вы не хотите работать на производстве, вы можете моделировать производственную среду, установив свой APP_ENV для производства, настраивая услуги и конфигурацию как можно ближе к производству и запустив свой сценарий развертывания производства локально. Затем запустите команду Enlightn Artisan.

По умолчанию команда enlightn Artisan выделяет пути файла, связанные номера строк и сообщение для каждой неудачной проверки. Если вы хотите отобразить подробные сообщения об ошибках для каждой строки, вы можете использовать опцию --details :

php artisan enlightn --details

Если вы хотите интегрировать Enlightn с вашим CI, вы можете просто запустить опцию --ci при запуске Enlightn в вашем инструменте CI/CD:

php artisan enlightn --ci

Вы можете добавить флаг --report если вы хотите просмотреть свои отчеты CI в пользовательском интерфейсе onlightn. Не забудьте добавить учетные данные своего проекта в ваш файл config/enlightn.php как описано здесь.

php artisan enlightn --ci --report

Предварительные конфигурации Enlightn, которые анализаторы могут быть запускаются в режиме CI для вас. Таким образом, вышеупомянутая команда исключает анализаторов, которым нужна полная настройка для запуска (например, анализаторы с использованием динамического анализа).

Для получения дополнительной информации о интеграции CI, обратитесь к документации Enlightn.

Иногда, особенно в средах CI, вы можете объявить в настоящее время сообщаемый список ошибок как «базовый уровень». Это означает, что текущие ошибки не будут сообщены в последующих пробегах, и будут помечены только новые ошибки.

Чтобы автоматически генерировать базовую линию, вы можете запустить команду enlightn:baseline Artisan:

php artisan enlightn:baseline

Если вы хотите запустить эту команду в режиме CI, вы можете использовать опцию --ci :

php artisan enlightn:baseline --ci

Для получения дополнительной информации о создании базовой линии, обратитесь к документам.

Enlightn предлагает красивую панель пользовательского интерфейса, где вы можете просмотреть свои отчеты onlightn, запускаемые из ваших CI или запланированных команд.

Интернет -интерфейс бесплатный для всех пользователей и включает в себя следующее:

1. Статистика по проценту прохода (в целом и по категории).
2. Все неудачные проверки вместе с фрагментами кода, связанные с проверками (если есть).
3. Метрики по количеству новых и разрешенных вопросов (по сравнению с самым последним отчетом, работающим на одном и том же приложении, окружающей среде и проекте).

Чтобы получить доступ к веб -пользовательскому интерфейсу, все, что вам нужно сделать, это подписать бесплатно на веб -сайте onlightn и следовать указаниям, упомянутым здесь.

Помимо интеграции Enlightn с вашим инструментом CI/CD, это хорошая практика, чтобы запланировать программу, запускающуюся на регулярной частоте (например, ежедневную или еженедельную), как SO:

 // In your app/Console/Kernel.php file:

/**
 * Define the application's command schedule.
 *
 * @param  IlluminateConsoleSchedulingSchedule  $schedule
 * @return void
 */
protected function schedule ( Schedule $ schedule )
{
    $ schedule -> command ( ' enlightn --report ' )-> runInBackground ()-> daily ()-> at ( ' 01:00 ' );
}

Это позволит вам отслеживать динамические проверки анализа Enlightn, которые обычно исключаются из CI. Отчеты можно просматривать в пользовательском интерфейсе onlightn Web.

Enlightn предлагает бот Github, который может подготовить отчет, выделяющий неудачные проверки, а также добавить комментарии к просмотру за запросами на линии кода, которые вводят новые проблемы.

Чтобы интегрироваться с ботом onlightn github, обратитесь к документам.

Все проверки, которые сняты, будут включать описание того, почему они не удались вместе с соответствующими линиями кода (если применимо) и ссылку на документацию для конкретной проверки.

Наконец, после того, как все проверки пройдут, команда enlightn Artisan выведет табель успеваемости, которая содержит информацию о том, сколько и какой процент чеков проходил, не удалось или были пропущены.

Проверки, указанные как «не применимые», не были применимы к вашему конкретному приложению и были пропущены. Например, анализатор CSRF не применим к приложениям без сохранения состояния.

Проверки, представленные в строке «Ошибка», указывают на анализаторы, которые не удались за исключением во время анализа. Обычно этого не должно произойти, но если это произойдет, связанное сообщение об ошибке будет отображаться и может иметь какое -то отношение к вашему приложению.

Хорошей практикой было бы запуск onlightn каждый раз, когда вы развертываете код или выдвигаете новый релиз. Рекомендуется интегрировать onlightn с вашим инструментом CI/CD, чтобы он был запускается для каждого толчка или нового выпуска.

Помимо автоматизированных проверок CI, вы также должны запустить onlightn на обычной частоте, используя запланированную консольную команду, как описано выше. Это позволит вам отслеживать проверки динамического анализа, которые обычно исключаются из CI.

Для Enlightn поддерживаются только системы macOS и Linux. Windows в настоящее время не поддерживается.

Спасибо за рассмотрение внесения вклад в Enlightn! Руководство по взносу можно найти здесь.

Наша политика поддержки может быть найдена в документации Enlightn.

Enlightn OSS (в этом репозитории GitHub) лицензируется по лицензии LGPL V3 (или более поздней).

Onlightn Pro имеет лицензию по коммерческой лицензии.