Стъпка по стъпка ръководство за настройка и използване на nodejsscan за Sast

Тази статия представлява стъпка по стъпка ръководство за настройка и използване на Nodejsscan за Sast. Читателите ще могат да се запознаят с практическия пример за инсталацията на програмата.

Nodejsscan е статичен кодов скенер, който се използва за търсене на недостатъци на сигурност в приложения на Node.js. Трябва да се разбере точно как може да се използва NodejsScan за SATs, ако възникне такава необходимост.

Инсталиране, настройка и използване на Nodejsscan скенер

• Потребителят инсталира Postgres и го конфигурира (sqlalchemy_database_url) в сърцевина / настройка.
• След това изтегля пакета Nodejsscan от хранилището на GitHub, като включите тази връзка.

След това трябва да отидете в директорията Nodejsscan и да инсталирате всички необходими компоненти, като използвате командата:

PIP3 Инсталиране -R изисквания.txt

• Трябва да изпълните тази команда (python3 migrate.py) веднъж, за да създадете необходимите записи в базата данни.
• Командата "python3 app.py" се извършва, за да се тества средата.
• Инсталирайте Gunicorn, необходим за правилната работа на Nodejsscan, можете да използвате "Gunicorn -b 0.0.0.0.0: 19090 AP: App: App". Това е необходимо за производствената среда.

Този инструмент ще стартира Nodejsscan на: http: //0.0.0: 9090. Ако трябва да поправите, инсталирате отстраняване на грешки в "TRUE" в Core / Settings.py. С периодичната актуализация на този инструмент Nodejsscan има минимален брой фалшиви положителни резултати.

Интерфейс за командния ред (CLI) Nodejsscan

Интерфейс за командния ред или "CLI" позволява този инструмент да се интегрира с DEVSecops CI / CD конвейери. Резултатите ще бъдат представени на потребителя в JSON формат.

Докер

Docker Images могат да бъдат конфигурирани за Nodejsscan, като се използват следните стъпки:

• Първо, трябва да се уверите, че самият док е инсталиран в системата.
• Потребителят стартира услугата Docker, използвайки командата:

Service Docker Start.

• След това изпълнява следната команда:

Docker Build -t Nodejsscan

• След това, накрая, той влиза в тази команда, за да стартира приложението:

Docker Run -T -P 9090: 9090 Nodejsscan

Демонстрация на целия процес на практически пример

• Потребителят тества този инструмент на хранилище, съдържащо непълен и уязвим код.
• Приложението Nodejsscan е съвместимо с файловете с формат .ZIP, които са били заредени в него. Така че, първо трябва да компресирате вашия код .js в .zip архива и след това отворете браузъра и да изтеглите компресиран файл.
• След изтегляне на zip файла инструментът ще покаже на потребителя списък на всички уязвимости.

Авторът на преведената статия: Sudhansu Shekhar.

По-интересен материал на cisoclub.ru. Абонирайте се за нас: Facebook | VK | Twitter | Instagram | Телеграма | Zen | Messenger | ICQ нов |. \ T YouTube | Импулс.