ดาวน์โหลด zarn - ดาวน์โหลดซอร์สโค้ด zarn

zarn

หมวดหมู่อื่นๆ

Zarn

ดาวน์โหลด

zarn

การวิเคราะห์ความปลอดภัยรหัสคงที่น้ำหนักเบาสำหรับแอปพลิเคชัน Perl ที่ทันสมัย

สรุป

การวิเคราะห์แบบคงที่ Zarn สามารถระบุช่องโหว่ที่เป็นไปได้: เพื่อจุดประสงค์นี้แต่ละไฟล์จะถูกแยกวิเคราะห์โดยใช้การวิเคราะห์ AST เพื่อรับรู้โทเค็นที่นำเสนอความเสี่ยงและต่อมาเรียกใช้กระบวนการติดตาม Taint เพื่อยืนยันว่าเป็นประโยชน์หรือไม่

ปัจจุบัน Zarn ทำการวิเคราะห์บริบทไฟล์เดียวซึ่งหมายความว่าไม่สามารถระบุช่องโหว่ที่ไม่เกี่ยวข้องโดยตรงกับไฟล์ที่ถูกวิเคราะห์ แต่ในอนาคตเราวางแผนที่จะใช้การวิเคราะห์กราฟการโทรเพื่อระบุช่องโหว่ที่ไม่เกี่ยวข้องโดยตรงกับไฟล์ที่ถูกวิเคราะห์

คุณสามารถอ่านสิ่งพิมพ์ทั้งหมดเกี่ยวกับ Zarn ที่: เครื่องมือวิเคราะห์ความปลอดภัยแบบคงที่น้ำหนักเบาสำหรับแอพ Perl ที่ทันสมัย

ดาวน์โหลดและติดตั้ง

 # Download
$ git clone https://github.com/htrgouvea/zarn && cd zarn
    
# Install libs dependencies
$ sudo cpanm --installdeps .

ตัวอย่างการใช้งาน

$ perl zarn.pl --rules rules/quick-wins.yml --source ../nozaki --sarif report.sarif

[warn] - FILE:../nozaki/lib/Functions/Helper.pm          Potential: Timing Attack.
[vuln] - FILE:../nozaki/lib/Engine/Orchestrator.pm       Potential: Path Traversal.
[vuln] - FILE:../nozaki/lib/Engine/Orchestrator.pm       Potential: Path Traversal.
[warn] - FILE:../nozaki/lib/Engine/FuzzerThread.pm       Potential: Timing Attack.

ตัวอย่างกฎ

 rules :
  - id : ' 0001 '
    category : info
    name : Debug module enabled
    message : Debug modules can expose sensitive information and potentially create security vulnerabilities.
    sample :
      - Dumper
  - id : ' 0002 '
    category : vuln
    name : Code Injection
    message : Occur when untrusted data is executed as code, allowing attackers to run arbitrary commands on the server.
    sample :
      - system
      - eval
      - exec
      - qx
  - id : ' 0003 '
    category : vuln
    name : Path Traversal
    message : Occur when user input is not properly sanitized, allowing attackers to access files and directories outside of the intended directory structure.
    sample :
      - open

การกระทำของ GitHub

 name : ZARN SAST

on :
  push :
    branches : [ "main" ]
  pull_request :
    branches : [ "main" ]
  schedule :
    - cron : " 28 23 * * 1 "

jobs :
  zarn :
    name : Security Static Analysis with ZARN
    runs-on : ubuntu-20.04
    steps :
    - name : Checkout code
      uses : actions/checkout@v4
      
    - name : Perform Static Analysis
      uses : htrgouvea/[email protected]

    - name : Send result to Github Security
      uses : github/codeql-action/upload-sarif@v3
      with :
        sarif_file : result.sarif

ผลงาน

การมีส่วนร่วมและข้อเสนอแนะของคุณยินดีอย่างยิ่ง♥ยินดีต้อนรับ ดูแนวทางการบริจาคที่นี่ โปรดรายงานข้อบกพร่องผ่านหน้าปัญหาและปัญหาด้านความปลอดภัยดูที่นโยบายความปลอดภัยที่นี่ (✿) โครงการนี้เป็นไปตามคู่มือสไตล์นี้: (https://github.com/htrgouvea/perl-style-guide)