Denne artikel præsenterer en trinvis vejledning til opsætning og brug af Nodejsscan til SAST. Læsere vil være i stand til at gøre sig bekendt med det praktiske eksempel på programinstallationen.
Nodeejsscan er en statisk kode scanner, der bruges til at søge efter sikkerhedsmangler i node.js applikationer. Det bør forstås nøjagtigt, hvordan Nodejsscan for SATS kan bruges, hvis et sådant behov opstod.
Installation, opsætning og brug af Nodejsscan Scanner- Brugeren installerer Postgres og konfigurerer det (SQLALCHEMY_DATABASE_URL) i Core / Settings.py
- Dernæst downloader den Nodeejsscan-pakken fra Github-repository ved at tænde for dette link.
Derefter skal du gå til Nodejsscan-biblioteket og installere alle de nødvendige komponenter ved hjælp af kommandoen:
PIP3 Installer -R-krav.txt
- Du skal udføre denne kommando (Python3 Migrate.py) en gang for at oprette de nødvendige poster i databasen.
- Kommandoen "Python3 App.py" udføres for at teste mediet.
- Installer den gunicorn, der kræves for den korrekte drift af Nodeejsscan, kan du bruge "Gunicorn -B 0.0.0.0.0: 19090 AP: App: App" kommando. Det er nødvendigt for produktionsmiljøet.
Dette værktøj vil køre Nodejsscan på: http: //0.0.0: 9090. Hvis du har brug for at rette, skal du installere debug til "TRUE" i Core / Settings.py. Med den periodiske opdatering af dette værktøj har NodeJSScan et minimum antal falske positive.
Command Line Interface eller "CLI" gør det muligt for dette værktøj at integrere med DevpeCOPS CI / CD-transportører. Resultaterne vil blive præsenteret for brugeren i JSON-format.
Docker billeder kan konfigureres til Nodejsscan ved hjælp af følgende trin:
- For det første skal du sørge for, at Docker selv er installeret i systemet.
- Brugeren starter Docker-tjenesten ved hjælp af kommandoen:
Service Docker Start.
- Dernæst udfører den følgende kommando:
Docker build -t nodejsscan
- Derefter går det endelig ind i denne kommando for at køre ansøgningen:
Docker Run -It -P 9090: 9090 Nodejsscan
Demonstration af hele processen på et praktisk eksempel- Brugeren testede dette værktøj på et depot, der indeholder ufuldstændig og sårbar kode.
- NodeJSScan-applikationen er kompatibel med de .zip-formatfiler, der er blevet indlæst i den. Så du skal først komprimere din .js kode til .zip arkivet, og derefter åbne browseren og downloade en komprimeret fil.
- Når du har downloadet ZIP-filen, viser værktøjet brugeren en liste over alle sårbarheder.
Forfatteren af den oversatte artikel: Sudhansu Shekhar.
Mere interessant materiale på cisoclub.ru. Abonner på os: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NYE | YouTube | Puls.