Покрокове керівництво по налаштуванню і використанню NodeJsScan для SAST

У цій статті представлено покрокове керівництво по налаштуванню і використанню NodeJsScan для SAST. Читачі зможуть ознайомитися з практичним прикладом інсталяції програми.

NodeJsScan - це сканер статичного коду, який використовується для пошуку недоліків безпеки в додатках Node.js. Слід точно розуміти, як можна застосовувати NodeJsScan для SATS, якщо виникла така необхідність.

Установка, настройка і використання сканера NodeJsScan

• Користувач встановлює Postgres і налаштовує його (SQLALCHEMY_DATABASE_URL) в core / setting.py
• Далі він викачує пакет NodeJsScan зі сховищ GitHub, перейшовши за цим посиланням.

Після цього потрібно перейти в каталог NodeJsScan і встановити всі необхідні компоненти за допомогою команди:

pip3 install -r requirements.txt

• Слід виконати дану команду (python3 migrate.py) один раз, щоб створити необхідні записи в базі даних.
• Команда «python3 app.py» виконується для того, щоб провести тестування середовища.
• Встановити gunicorn, необхідний для коректної роботи NodeJsScan, можна за допомогою команди «gunicorn -b 0.0.0.0:9090 app: app». Він потрібен для виробничого середовища.

Цей інструмент буде запускати NodeJsScan за адресою: http://0.0.0.0:9090. Якщо потрібно виконати налагодження, слід встановити DEBUG на значення «True» в core / settings.py. При періодичному оновленні даного інструменту NodeJsScan має мінімальну кількість помилкових спрацьовувань.

Інтерфейс командного рядка (CLI) NodeJsScan

Інтерфейс командного рядка ( «command line interface» або «CLI») дає можливість цьому інструменту інтегруватися з конвеєрами DevSecOps CI / CD. Результати будуть представлені користувачеві в форматі JSON.

Docker

Зображення Docker можуть бути налаштовані для NodeJsScan за допомогою наступних кроків:

• По-перше, потрібно переконатися, що в системі встановлений сам Docker.
• Користувач запускає службу Docker за допомогою команди:

service docker start

• Далі він виконує наступну команду:

docker build -t nodejsscan

• Потім, нарешті, він вводить цю команду, щоб запустити роботу програми:

docker run -it -p 9090: 9090 nodejsscan

Демонстрація всього процесу на практичному прикладі

• Користувач протестував цей інструмент на репозиторії, що містить неповний і вразливий код.
• Додаток NodeJsScan сумісно з файлами формату .zip, які були в нього завантажені. Отже, спочатку потрібно стиснути свій код .js в архів .zip, а потім відкрити браузер і завантажити стиснений файл.
• Після завантаження zip-файлу інструмент покаже користувачеві список всіх вразливостей.

Автор перекладеної статті: Sudhansu Shekhar.

Більше цікавого матеріалу на cisoclub.ru. Підписуйтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | дзен | Мессенджер | ICQ New | YouTube | Pulse.