หน้าแรก>ซอร์สโค้ด JSP>หมวดหมู่อื่นๆ
ดาวน์โหลด

การแนะนำ 

  ___            _____ _                    _
 / _           | _   _ | |                  | |
/ /_  _ __  _ __ | | | | __  _ __ ___  __ _ | | _
|  _  | ' _ | ' _ | | | ' _ | ' __/ _ / _ ` | __ |
| | | | | _) | | _) | | | | | | | |  __/ (_ | | | _
_ | | _/ .__/ | .__/ _ / | _ | | _ | _ |  _ __ | _ _,_ | _ _ |
      | |   | |
      | _ |   | _ |

repo นี้สร้าง appthreat/sast-scan (และ quay.io/appthreat/sast-scan ) ภาพคอนเทนเนอร์ที่มีเครื่องมือการทดสอบความปลอดภัยการวิเคราะห์แบบคงที่โอเพ่นซอร์ส (SAST) จำนวนมาก นี่เป็นเหมือนมีดกองทัพสวิสสำหรับวิศวกร DevSecops

คุณสมบัติ

  • ไม่จำเป็นต้องมีการกำหนดค่าที่ยุ่งเหยิงและไม่จำเป็นต้องใช้เซิร์ฟเวอร์
  • การสแกนดำเนินการโดยตรงใน CI และรวดเร็วมาก การสแกนเต็มมักจะใช้เวลาเพียงไม่กี่นาที
  • HTML ที่งดงามรายงานว่าคุณสามารถแบ่งปันกับเพื่อนร่วมงานได้อย่างภาคภูมิใจและทีมรักษาความปลอดภัย
  • รหัสออกอัตโนมัติ 1 (สร้างเบรกเกอร์) ที่มีช่องโหว่ที่สำคัญและสูง
  • มีหลายสิ่งเล็ก ๆ น้อย ๆ ที่จะนำรอยยิ้มมาสู่ทีม DevOps ใด ๆ

เครื่องมือรวม

ภาษาการเขียนโปรแกรม เครื่องมือ
ตอบได้ ANSIBLE-LINT
ปลายยอด PMD
aws cfn-lint, cfn_nag
ทุบตี หอยเชลล์
ระเบิด cdxgen
ความเชื่อมั่น Gitleaks
นักบวช สแกน
ไป Gosec, StaticCheck
ชวา Cdxgen, Gradle, Find-Sec-Bugs, PMD
JSP PMD
JSON JQ, JSONDIFF, JSONSCHEMA
Kotlin ทำให้เสียชีวิต
Kubernetes คะแนน Kube
nodejs cdxgen, nodejsscan, eslint, เส้นด้าย
หุ่นเชิด หุ่นเชิด
กรุณา PMD
งูหลาม โจร, cdxgen, pipenv
ทับทิม Cyclonedx-ruby
สนิม cdxgen, การตรวจสอบสินค้า
รูปปั้น TFSEC
พลังภาพ (VF) PMD
Apache Velocity (VM) PMD
ยม Yamllint

ภาษา/รันไทม์ที่รวมเข้าด้วยกัน

  • JQ
  • ไป 1.12
  • Python 3.6
  • OpenJDK 11 (JRE)
  • ทับทิม 2.5.5
  • สนิม
  • node.js 10
  • Yarnpkg

รายงานบางฉบับได้รับการแปลงเป็นมาตรฐานที่เรียกว่า Sarif โปรดดูส่วนเกี่ยวกับ Viewing reports สำหรับตัวเลือกผู้ชมที่หลากหลายสำหรับสิ่งนี้

เครื่องมือที่เปิดใช้งานสำหรับการแปลง sarif

  • Bash - Shellcheck
  • CredScan - Gitleaks
  • Python - Bandit
  • node.js - nodejsscan
  • PMD, find-sec-bugs
  • ไป - Gosec, StaticCheck
  • Terraform - TFSEC

การใช้งาน

Sast-Scan เหมาะอย่างยิ่งสำหรับการใช้งานกับ CI และเป็นเบ็ดล่วงหน้าสำหรับการพัฒนาในท้องถิ่น

บูรณาการกับ Azure Devops

อ้างถึงเอกสาร

การรวมเข้ากับการกระทำของ GitHub

เครื่องมือนี้สามารถใช้กับการกระทำของ GitHub โดยใช้การกระทำนี้ สามารถใช้ภาษาที่รองรับทั้งหมดได้

การทดสอบตัวเอง repo ตัวเองด้วย sast-scan! ตรวจสอบไฟล์เวิร์กโฟลว์ GitHub ของ repo นี้ 

- name : Self sast-scan
  uses : AppThreat/[email protected]
  with :
    output : reports
    type : python,bash
- name : Upload scan reports
  uses : actions/[email protected]
  with :
    name : sast-scan-reports
    path : reports

การรวมเข้ากับ Google CloudBuild

ใช้ตัวสร้างที่กำหนดเองนี้เพื่อเพิ่ม Sast-Scan เป็นขั้นตอนการสร้าง

ขั้นตอนเต็มจะทำซ้ำด้านล่าง

  1. เพิ่มตัวสร้างที่กำหนดเองในโครงการของคุณ 
git clone https://github.com/CloudBuildr/google-custom-builders.git
cd google-custom-builders/sast-scan
gcloud builds submit --config cloudbuild.yaml .
  1. ใช้ใน CloudBuild.yaml 
 steps :
  - name : " gcr.io/$PROJECT_ID/sast-scan "
    args : ["--type", "python"]

การรวมเข้ากับ circleci

อ้างถึงเอกสาร

การรวมเข้ากับ Gitlab CI

สามารถดูโครงการตัวอย่างที่มีการกำหนดค่าได้ที่นี่ 

 sast :
  stage : test
  image : 
    name : appthreat/sast-scan
  script :
    - scan --src ${CI_PROJECT_DIR} --type nodejs --out_dir ${CI_PROJECT_DIR}/reports
  artifacts :
    paths :
      - $CI_PROJECT_DIR/reports/

การรวมที่กำหนดเอง

รายงาน Sarif ที่ผลิตโดย Sast-Scan สามารถรวมเข้ากับเครื่องมือที่เข้ากันได้อื่น ๆ นอกจากนี้ยังสามารถนำเข้าสู่ฐานข้อมูลได้อย่างง่ายดายเช่น BigQuery เพื่อจุดประสงค์ในการสร้างภาพ อ้างถึงเอกสารการรวมสำหรับคำอธิบายโดยละเอียดเกี่ยวกับรูปแบบ SARIF

การสแกนโครงการในพื้นที่

โครงการสแกน Python 

docker run --rm -e " WORKSPACE= ${PWD} " -v " $PWD :/app:cached " quay.io/appthreat/sast-scan scan --src /app --type python

บน Windows คำสั่งจะเปลี่ยนไปเล็กน้อยขึ้นอยู่กับเทอร์มินัล

CMD 

 docker run --rm -e "WORKSPACE=%cd%" -e "GITHUB_TOKEN=%GITHUB_TOKEN%" -v "%cd%:/app:cached" quay.io/appthreat/sast-scan scan

PowerShell และ PowerShell Core 

 docker run --rm -e "WORKSPACE=$(pwd)" -e "GITHUB_TOKEN=$env:GITHUB_TOKEN" -v "$(pwd):/app:cached" quay.io/appthreat/sast-scan scan

WSL Bash 

 docker run --rm -e "WORKSPACE=${PWD}" -e "GITHUB_TOKEN=${GITHUB_TOKEN}" -v "$PWD:/app:cached" quay.io/appthreat/sast-scan scan

เครื่องปั่นป่วน 

 docker run --rm -e "WORKSPACE=${PWD}" -e "GITHUB_TOKEN=${GITHUB_TOKEN}" -v "/$PWD:/app:cached" quay.io/appthreat/sast-scan scan

อย่าลืม Slash (/) ก่อน $ PWD สำหรับ Git-Bash!

สแกนหลายโครงการ 

docker run --rm -e " WORKSPACE= ${PWD} " -v " $PWD :/app:cached " quay.io/appthreat/sast-scan scan --src /app --type credscan,nodejs,python,yaml --out_dir /app/reports

สแกนโครงการ Java

สำหรับโครงการที่ใช้ภาษา Java และ JVM เป็นสิ่งสำคัญที่จะต้องรวบรวมโครงการก่อนที่จะเรียก Sast-Scan ในเวิร์กโฟลว์ DEV และ CI 

docker run --rm -e " WORKSPACE= ${PWD} " -v ~ /.m2:/.m2 -v < source path > :/app quay.io/appthreat/sast-scan scan --src /app --type java

# For gradle project
docker run --rm -e " WORKSPACE= ${PWD} " -v ~ /.gradle:/.gradle -v < source path > :/app quay.io/appthreat/sast-scan scan --src /app --type java

โครงการสแกน Python (ไม่มี telemetry ใด ๆ ) 

docker run --rm -e " WORKSPACE= ${PWD} " -e " DISABLE_TELEMETRY=true " -v $PWD :/app quay.io/appthreat/sast-scan scan --src /app --type python

การตรวจจับโครงการอัตโนมัติ

อย่าลังเลที่จะข้าม --type เพื่อเปิดใช้งานการตรวจจับอัตโนมัติ หรือผ่านค่าที่คั่นด้วยเครื่องหมายจุลภาคหากโครงการมีหลายประเภท

เรียกใช้เครื่องมือในตัว

โจร 

docker run --rm -v < source path > :/app quay.io/appthreat/sast-scan bandit -r /app

กำลังดูรายงาน

รายงานจะถูกสร้างขึ้นในไดเรกทอรีที่ระบุไว้สำหรับ --out_dir ในตัวอย่างข้างต้นมันถูกตั้งค่าเป็น reports ซึ่งจะเป็นไดเรกทอรีภายใต้ไดเรกทอรีรากซอร์สโค้ด

รายงานบางฉบับจะถูกแปลงเป็นมาตรฐานที่เรียกว่า Sarif รายงานดังกล่าวจะจบลงด้วยการขยาย .sarif ในการเปิดและดูไฟล์ sarif ต้องมีผู้ชมเช่น:

  • ผู้ชมออนไลน์ - http://sarifviewer.azurewebsites.net/
  • VS Code Extension-https://marketplace.visualstudio.com/items?itemname=ms-sarifvscode.sarif-viewer
  • Extension Visual Studio - https://marketplace.visualstudio.com/items?itemname=wdgis.microsoftsarifviewer
  • Azure DevOps Extension-https://marketplace.visualstudio.com/items?itemname=shiftleftsecurity.sl-scan-results

ตัวอย่างรายงาน:

ผู้ดูออนไลน์สามารถใช้เพื่ออัปโหลดไฟล์. sarif ด้วยตนเองตามที่แสดง

ผู้ชมออนไลน์

ปลั๊กอิน Azure DevOps Sarif สามารถรวมเข้าด้วยกันเพื่อแสดงการวิเคราะห์ที่รวมเข้ากับการสร้างการทำงานดังที่แสดง

การรวม Azure Devops

สร้างเบรกเกอร์

ทางเลือก

Gitlab Sast ใช้เครื่องวิเคราะห์วัตถุประสงค์เดียวจำนวนมากและตัวแปลงจาก GO เพื่อสร้างรูปแบบ JSON ที่กำหนดเอง โมเดลนี้มีข้อเสียของการเพิ่มเวลาในการสร้างเนื่องจากภาพคอนเทนเนอร์หลายภาพควรดาวน์โหลดและดังนั้นจึงไม่เหมาะสำหรับสภาพแวดล้อม CI เช่นท่อ Azure, Codebuild และ Google CloudBuild บวกกับใบอนุญาตที่ใช้โดย Gitlab ไม่ได้เป็น opensource แม้ว่าตัววิเคราะห์จะห่อเครื่องมือ OSS ที่มีอยู่!

Mir Swamp เป็นบริการออนไลน์ฟรีสำหรับการใช้งานทั้ง OSS และการวิเคราะห์แบบคงที่เชิงพาณิชย์สำหรับภาษาหลายภาษาไปยัง Sast-Scan มีข้อเสนอฟรีหนองในกล่อง แต่การตั้งค่าค่อนข้างยุ่งยาก พวกเขาใช้รูปแบบ XML ที่เรียกว่า Scarf กับตัวแปลงที่ใช้ Perl จำนวนหนึ่ง ในทางตรงกันข้าม Sarif นั้นใช้ JSON และง่ายต่อการทำงานกับวัตถุประสงค์ในการรวมและ UI ด้วยการใช้ Python ทำให้ Sast-Scan เป็นเรื่องง่ายที่จะทำงานกับการปรับแต่ง

ผู้สนับสนุน

AppTherat ได้รับการสนับสนุนและสนับสนุนโดย Shiftleft สำหรับการอภิปรายและข้อเสนอแนะทั่วไปโปรดอย่าลังเลที่จะใช้ปัญหา GitHub หรือ Forum Shiftleft Discussion Forum

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด