Tento článek představuje krok za krokem průvodce pro nastavení a používání NodejsScan pro Sast. Čtenáři se budou moci seznámit s praktickým příkladem instalace programu.
NodejsScan je skener statického kódu, který se používá k vyhledávání zabezpečení nedostatků v aplikacích UnEl.js. Mělo by být přesně pochopeno, jak nodejsscan pro SATS lze použít, pokud by taková potřeba vznikla.
Instalace, nastavení a používání skeneru NodejsScan- Uživatel instaluje postgres a konfiguruje jej (SqlalChemy_database_url) v Core / Setting.py
- Dále si stáhne balíček Nodejsscan z úložiště GitHub otočením na tomto odkazu.
Poté musíte jít do adresáře Nodejsscan a nainstalovat všechny potřebné komponenty pomocí příkazu:
PIP3 instalace -R požadavky.txt
- Musíte provést tento příkaz (Python3 Migrate.py), abyste vytvořili potřebné položky v databázi.
- Příkaz "Python3 App.py" se provádí za účelem otestování média.
- Nainstalujte Gunicorn potřebný pro správný provoz Nodejsscan, můžete použít "Gunicorn -b 0.0.0.0.0: 19090 AP: APP: APP". Je třeba pro výrobní prostředí.
Tento nástroj spustí nodejsscan na adrese: http: //0.0.0: 9090. Pokud potřebujete opravit, nainstalujte Debug na "TRUE" v Core / Settings.py. S periodickou aktualizací tohoto nástroje má NodejsScan minimální počet falešných pozitiv.
Rozhraní příkazového řádku nebo "CLI" umožňuje tento nástroj integrovat s DeveCops CI / CD dopravníky. Výsledky budou předloženy uživateli ve formátu JSON.
Obrázky dockeru lze konfigurovat pro nodejsscan pomocí následujících kroků:
- Za prvé, musíte se ujistit, že je v systému instalován samotný ukotvovacík.
- Uživatel spustí službu Docker pomocí příkazu:
Start Service Docker.
- Dále provede následující příkaz:
Build Build -t Nodejsscan
- Pak konečně zadá tento příkaz ke spuštění aplikace:
Docker Run -It -p 9090: 9090 Nodejsscan
Demonstrace celého procesu na praktickém příkladu- Uživatel testoval tento nástroj na úložišti obsahující neúplný a zranitelný kód.
- Aplikace NodejsScan je kompatibilní se soubory formátu .ZIP, které byly načteny do ní. Takže musíte nejprve komprimovat kód .js k archivu .zip a poté otevřete prohlížeč a stáhněte komprimovaný soubor.
- Po stažení souboru ZIP bude nástroj zobrazovat uživatele seznam všech chyb zabezpečení.
Autorem přeloženého článku: Sudhansu Shekhar.
Zajímavější materiál na cisoclub.ru. Přihlásit se k nám: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ New | YouTube | Puls.