У гэтым артыкуле прадстаўлена пакрокавае кіраўніцтва па наладзе і выкарыстанню NodeJsScan для SAST. Чытачы змогуць азнаёміцца з практычным прыкладам інсталяцыі праграмы.
NodeJsScan - гэта сканер статычнага кода, які выкарыстоўваецца для пошуку недахопаў бяспекі ў прыкладаннях Node.js. Варта дакладна разумець, як можна ўжываць NodeJsScan для SATS, калі ўзнікла такая неабходнасць.
Ўстаноўка, настройка і выкарыстанне сканэра NodeJsScan- Карыстальнік ўсталёўвае Postgres і настройвае яго (SQLALCHEMY_DATABASE_URL) у core / setting.py
- Далей ён запампоўвае пакет NodeJsScan з рэпазітара GitHub, перайшоўшы па дадзенай спасылцы.
Пасля гэтага трэба перайсці ў каталог NodeJsScan і ўсталяваць ўсе неабходныя кампаненты з дапамогай каманды:
pip3 install -r requirements.txt
- Варта выканаць дадзеную каманду (python3 migrate.py) адзін раз, каб стварыць неабходныя запісы ў базе дадзеных.
- Каманда «python3 app.py» выконваецца для таго, каб правесці тэставанне асяроддзя.
- Ўсталяваць gunicorn, неабходны для карэктнай працы NodeJsScan, можна з дапамогай каманды «gunicorn -b 0.0.0.0:9090 app: app». Ён патрэбны для вытворчай асяроддзя.
Гэты інструмент будзе запускаць NodeJsScan па адрасе: http://0.0.0.0:9090. Калі трэба выканаць адладку, варта ўсталяваць DEBUG на значэнне «True» у core / settings.py. Пры перыядычным абнаўленні дадзенага інструмента NodeJsScan мае мінімальная колькасць ілжывых спрацоўванняў.
Інтэрфейс каманднага радка ( «command line interface» або «CLI») дае магчымасць гэтаму інструменту інтэгравацца з канвеерамі DevSecOps CI / CD. Вынікі будуць прадстаўлены карыстальніку ў фармаце JSON.
Выявы Docker могуць быць настроены для NodeJsScan з дапамогай наступных крокаў:
- Па-першае, трэба пераканацца, што ў сістэме ўсталяваны сам Docker.
- Карыстальнік запускае службу Docker з дапамогай каманды:
service docker start
- Далей ён выконвае наступную каманду:
docker build -t nodejsscan
- Затым, нарэшце, ён уводзіць гэтую каманду, каб запусціць працу прыкладання:
docker run -it -p 9090: 9090 nodejsscan
Дэманстрацыя ўсяго працэсу на практычным прыкладзе- Карыстальнік пратэставаў гэты інструмент на рэпазітары, які змяшчае няпоўны і ўразлівы код.
- Дадатак NodeJsScan сумяшчальна з файламі фармату .zip, якія былі ў яго загружаныя. Такім чынам, спачатку трэба сціснуць свой код .js ў архіў .zip, а затым адкрыць браўзэр і загрузіць сціснуты файл.
- Пасля загрузкі zip-файла інструмент пакажа карыстачу спіс усіх уразлівасцяў.
Аўтар перакладзенай артыкулы: Sudhansu Shekhar.
Больш цікавага матэрыялу на cisoclub.ru. Падпісвайцеся на нас: Facebook | VK | Twitter | Instagram | Telegram | дзэн | мессенджер | ICQ New | YouTube | Pulse.