Aquest article presenta una guia pas a pas per configurar i utilitzar Nodejsscan per a SAST. Els lectors podran familiaritzar-se amb l'exemple pràctic de la instal·lació del programa.
Nodejsscan és un escàner de codi estàtic que s'utilitza per cercar deficiències de seguretat a les aplicacions de node.js. Hauria d'entendre amb precisió com es pot utilitzar Nodejsscan per als SATS si es necessita aquesta necessitat.
Instal·lació, configuració i ús de l'escàner de Nodejsscan- L'usuari instal·la Postgres i la configura (sqlalchemy_database_url) en nucli / parcial.py
- A continuació, es descarrega el paquet Nodejsscan des del dipòsit de Github girant aquest enllaç.
Després d'això, haureu d'anar al directori Nodejsscan i instal·lar tots els components necessaris mitjançant l'ordre:
PIP3 Instal·leu -r requisits.txt
- Heu d'executar aquesta ordre (Python3 Migrate.py) una vegada per crear les entrades necessàries a la base de dades.
- L'ordre "Python3 App.py" es realitza per provar el mitjà.
- Instal·leu el canó de canó necessaris per al correcte funcionament de Nodejsscan, podeu utilitzar el "Gunicorn -b 0.0.0.0.0: 19090 AP: ordre de l'aplicació". Es necessita per a l'entorn de producció.
Aquesta eina executarà Nodejsscan a: http: / 01.0.0: 9090. Si necessiteu arreglar, instal·lar Devug to "true" a Core / Settings.py. Amb l'actualització periòdica d'aquesta eina, el nodejsscan té un nombre mínim de falsos positius.
La interfície de línia d'ordres o "CLI" permet integrar aquesta eina amb transportadors de Devsecops CI / CD. Els resultats es presentaran a l'usuari en format JSON.
Les imatges de Docker es poden configurar per a NodeJsscan mitjançant els passos següents:
- En primer lloc, haureu d'assegurar-vos que el Docker s'instal·li al sistema.
- L'usuari llança el servei Docker mitjançant l'ordre:
El servei Docker comença.
- A continuació, realitza l'ordre següent:
Docker Build -t NodeJsscan
- Llavors, finalment, entra en aquesta ordre per executar l'aplicació:
Docker Run -it -p 9090: 9090 Nodejsscan
Demostració de tot el procés en un exemple pràctic- L'usuari va provar aquesta eina en un repositori que conté un codi incomplet i vulnerable.
- L'aplicació NodeJsscan és compatible amb els fitxers de format .zip que s'han carregat. Per tant, primer heu de comprimir el codi .js a l'arxiu .zip i, a continuació, obriu el navegador i descarregueu un fitxer comprimit.
- Després de descarregar el fitxer zip, l'eina mostrarà a l'usuari una llista de totes les vulnerabilitats.
L'autor de l'article traduït: Sudhansu Shekhar.
Material més interessant a Cisoclub.ru. Subscriviu-nos a nosaltres: Facebook | Vk | Twitter | Instagram | Telegrama | Zen | Missatgera ICQ NOU | Youtube | Pols.