![Покрокове керівництво по налаштуванню і використанню NodeJsScan для SAST 4370_1](/userfiles/21/4370_1.webp)
У цій статті представлено покрокове керівництво по налаштуванню і використанню NodeJsScan для SAST. Читачі зможуть ознайомитися з практичним прикладом інсталяції програми.
NodeJsScan - це сканер статичного коду, який використовується для пошуку недоліків безпеки в додатках Node.js. Слід точно розуміти, як можна застосовувати NodeJsScan для SATS, якщо виникла така необхідність.
Установка, настройка і використання сканера NodeJsScan- Користувач встановлює Postgres і налаштовує його (SQLALCHEMY_DATABASE_URL) в core / setting.py
- Далі він викачує пакет NodeJsScan зі сховищ GitHub, перейшовши за цим посиланням.
![Покрокове керівництво по налаштуванню і використанню NodeJsScan для SAST 4370_2](/userfiles/21/4370_2.webp)
Після цього потрібно перейти в каталог NodeJsScan і встановити всі необхідні компоненти за допомогою команди:
pip3 install -r requirements.txt
![Покрокове керівництво по налаштуванню і використанню NodeJsScan для SAST 4370_3](/userfiles/21/4370_3.webp)
- Слід виконати дану команду (python3 migrate.py) один раз, щоб створити необхідні записи в базі даних.
- Команда «python3 app.py» виконується для того, щоб провести тестування середовища.
- Встановити gunicorn, необхідний для коректної роботи NodeJsScan, можна за допомогою команди «gunicorn -b 0.0.0.0:9090 app: app». Він потрібен для виробничого середовища.
![Покрокове керівництво по налаштуванню і використанню NodeJsScan для SAST 4370_4](/userfiles/21/4370_4.webp)
Цей інструмент буде запускати NodeJsScan за адресою: http://0.0.0.0:9090. Якщо потрібно виконати налагодження, слід встановити DEBUG на значення «True» в core / settings.py. При періодичному оновленні даного інструменту NodeJsScan має мінімальну кількість помилкових спрацьовувань.
![Покрокове керівництво по налаштуванню і використанню NodeJsScan для SAST 4370_5](/userfiles/21/4370_5.webp)
Інтерфейс командного рядка ( «command line interface» або «CLI») дає можливість цьому інструменту інтегруватися з конвеєрами DevSecOps CI / CD. Результати будуть представлені користувачеві в форматі JSON.
![Покрокове керівництво по налаштуванню і використанню NodeJsScan для SAST 4370_6](/userfiles/21/4370_6.webp)
Зображення Docker можуть бути налаштовані для NodeJsScan за допомогою наступних кроків:
- По-перше, потрібно переконатися, що в системі встановлений сам Docker.
- Користувач запускає службу Docker за допомогою команди:
service docker start
- Далі він виконує наступну команду:
docker build -t nodejsscan
- Потім, нарешті, він вводить цю команду, щоб запустити роботу програми:
docker run -it -p 9090: 9090 nodejsscan
Демонстрація всього процесу на практичному прикладі- Користувач протестував цей інструмент на репозиторії, що містить неповний і вразливий код.
- Додаток NodeJsScan сумісно з файлами формату .zip, які були в нього завантажені. Отже, спочатку потрібно стиснути свій код .js в архів .zip, а потім відкрити браузер і завантажити стиснений файл.
- Після завантаження zip-файлу інструмент покаже користувачеві список всіх вразливостей.
![Покрокове керівництво по налаштуванню і використанню NodeJsScan для SAST 4370_7](/userfiles/21/4370_7.webp)
![Покрокове керівництво по налаштуванню і використанню NodeJsScan для SAST 4370_8](/userfiles/21/4370_8.webp)
Автор перекладеної статті: Sudhansu Shekhar.
Більше цікавого матеріалу на cisoclub.ru. Підписуйтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | дзен | Мессенджер | ICQ New | YouTube | Pulse.