insider
3.0.0
Этот документ также доступен на Portuguese .
Инсайдер - это проект OSS CLI от Инсайдерской группы безопасности приложений для сообщества.
Инсайдер сосредоточен на охвате 10 лучших 10, чтобы сделать анализ исходного кода, чтобы найти уязвимости прямо в исходном коде, сфокусированного на гибком и простых в реализации программного обеспечения внутри вашего конвейера DevOps.
В настоящее время мы поддерживаем следующие технологии: Java (Maven and Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C#и JavaScript (node.js).
Существует действие GitHub, которое позволяет вам защищать ваш репозиторий инсайдерским, свободным, простым в интеграции и без трения. Это самый простой способ защитить ваш код непосредственно в вашем хранилище. Посмотрите - инсайдерское действие
Вы можете установить Insider, используя предварительно скомпилированные двоичные файлы или из источника.
У нас есть предварительные двоичные файлы по эксплуатационным системам Linux, Windows и MacOS, которые вы можете найти здесь.
Веселиться!
insider is the CLI project from the Insider Application Security Team for the community
Usage:
-exclude value
Patterns to exclude directory or files to analyze. Can be used multiple times
-jobs int
Number of analysis to execute in parallel (default 4)
-no-html
Skips the report generation in the HTML format
-no-json
Skips the report generation in the JSON format
-quiet
No output logs of execution
-security float
Set the Security level, values between 0 and 100 (default 0)
-target string
Specify where to look for files to run the specific ruleset
-tech string
Specify which technology ruleset to load
-v Enable verbose output
-version
Show version and quit with exit code 0
Supported technologies:
android
java
ios
javascript
csharp
Example of use:
# Run JavaScript analysis on specific directoty
insider -tech javascript -target <directory>
# Run Android analysis on specific directoty and ignore html and json report
insider -tech android -target <directory> -no-html -no-json
# Run Java analysis on specific directoty with a base security value to fail
insider -tech java -target <directory> -security 20
# Run JavaScript analysis on specific directoty and exclude node_modules and test files
insider -tech javascript -target <directory> -exclude tests/* -exclude node_modules/*
# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript --target < projectfolder > Вы также можете запустить insider в контейнере. Вам нужно только установить цель в объем:
$ docker run --rm -v $( pwd ) :/target-project insidersec/insider -tech < tech > -target /target-project
Чтобы построить инсайдер из источника, вам понадобится хотя бы версия 1.13.
$ go get github.com/insidersec/insider/cmd/insider
