Dieser Artikel enthält einen Schritt-für-Schritt-Anleitung zum Einrichten und Verwenden von NodeJsScan für SAST. Die Leser können sich mit dem praktischen Beispiel der Programminstallation vertraut machen.
NodeJsScan ist ein statischer Code-Scanner, der zur Suche nach Sicherheitsmangel in Node.js-Anwendungen verwendet wird. Es sollte genau verstanden werden, wie NodejsScan für SATS verwendet werden kann, wenn ein solcher Bedarf auftritt.
Installation, Setup und Verwenden von NodeJsScan-Scanner- Der Benutzer installiert Postgres und konfiguriert sie (sqlalchemy_database_url) in core / setting.py
- Als Nächstes lädt es das NodejsScan-Paket aus dem Github-Repository herunter, indem Sie diesen Link einschalten.
Danach müssen Sie in das NodeJsScan-Verzeichnis gehen und alle erforderlichen Komponenten mithilfe des Befehls installieren:
PIP3 INSTALLIERT -R Anforderung.txt
- Sie müssen diesen Befehl (python3 migrate.py) einmal ausführen, um die erforderlichen Einträge in der Datenbank zu erstellen.
- Der Befehl "python3 app.py" wird ausgeführt, um das Medium zu testen.
- Installieren Sie das Gunicorn, das für den korrekten Betrieb von NodeJsScan erforderlich ist, können Sie den Befehl "Gunicorn -b 0.0.0.0.0.0.0.09: 19090 AP: App: App" verwenden. Es ist für die Produktionsumgebung erforderlich.
Dieses Tool rennt NodeJsScan unter: http: //0.0.0: 9090. Wenn Sie das Problem beheben müssen, installieren Sie Debug in Core / Settings.py. Mit der periodischen Aktualisierung dieses Tools hat der KnotenjsScan eine Mindestanzahl von falschen Positiven.
Die Befehlszeilenschnittstelle oder "CLI" ermöglicht es diesem Werkzeug, mit Devsecops CI / CD-Förderern zu integrieren. Die Ergebnisse werden dem Benutzer im JSON-Format dargestellt.
Docker-Bilder können für NodeJsScan mit den folgenden Schritten konfiguriert werden:
- Erstens müssen Sie sicherstellen, dass der Docker selbst im System installiert ist.
- Der Benutzer startet den Docker-Dienst mit dem Befehl:
Service Docker Start.
- Als nächstes führt es den folgenden Befehl aus:
Docker Build -t NodeJsScan
- Dann gibt es schließlich diesen Befehl ein, um die Anwendung auszuführen:
Docker Run -It -p 9090: 9090 NodejsScan
Demonstration des gesamten Prozesses auf einem praktischen Beispiel- Der Benutzer testete dieses Werkzeug auf einem Repository, das einen unvollständigen und anfälligen Code enthielt.
- Die NodeJsScan-Anwendung ist kompatibel mit den in ihn geladenen ZIP-Formatdateien. Sie müssen also zuerst Ihren .js-Code in das .zip-Archiv komprimieren und den Browser öffnen und eine komprimierte Datei herunterladen.
- Nach dem Herunterladen der ZIP-Datei zeigt das Tool dem Benutzer eine Liste aller Schwachstellen an.
Der Autor des übersetzten Artikels: Sudhansu Shekhar.
Interessanteres Material auf cisoclub.ru. Abonnieren Sie uns: Facebook | Vk | Twitter | Instagram | Telegramm | Zen | Messenger | ICQ NEU | YouTube | Impuls.