Αυτό το άρθρο παρουσιάζει έναν οδηγό βήμα προς βήμα για τη ρύθμιση και τη χρήση του Nodejsscan για τη SAST. Οι αναγνώστες θα είναι σε θέση να εξοικειωθούν με το πρακτικό παράδειγμα της εγκατάστασης του προγράμματος.
Ο Nodejsscan είναι ένας στατικός σαρωτής κώδικα που χρησιμοποιείται για την αναζήτηση ελλείψεων ασφαλείας σε εφαρμογές Node.js. Θα πρέπει να κατανοηθεί με ακρίβεια τον τρόπο με τον οποίο μπορεί να χρησιμοποιηθεί ο Nodejsscan για τα SATs εάν μια τέτοια ανάγκη προέκυψε.
Εγκατάσταση, ρύθμιση και χρήση σαρωτή Nodejsscan- Ο χρήστης εγκαθιστά τους Postgres και τη διαμορφώσει το (SQLALCHEMY_DATABASE_URL) στο Core / Setting.py
- Στη συνέχεια, κατεβάζει το πακέτο Nodejsscan από το αποθετήριο Github ενεργοποιώντας αυτόν τον σύνδεσμο.
Μετά από αυτό πρέπει να μεταβείτε στον κατάλογο Nodejsscan και να εγκαταστήσετε όλα τα απαραίτητα εξαρτήματα χρησιμοποιώντας την εντολή:
PIP3 Εγκατάσταση -r Απαιτήσεις.txt
- Πρέπει να εκτελέσετε αυτήν την εντολή (Python3 migrate.py) μία φορά για να δημιουργήσετε τις απαραίτητες καταχωρήσεις στη βάση δεδομένων.
- Η εντολή "Python3 app.py" εκτελείται για να ελέγξει το μέσο.
- Εγκαταστήστε το Gunicorn που απαιτείται για τη σωστή λειτουργία του Nodejsscan, μπορείτε να χρησιμοποιήσετε το "Gunicorn -b 0.0.0.0.0: 19090 AP: Εντολή εφαρμογής: App". Απαιτείται για το περιβάλλον παραγωγής.
Αυτό το εργαλείο θα τρέξει Nodejsscan στη διεύθυνση: http: //0.0.0: 9090. Εάν πρέπει να διορθώσετε, να εγκαταστήσετε το σφάλμα εντοπισμού σφαλμάτων στο "True" στο Core / Settings.py. Με την περιοδική ενημέρωση αυτού του εργαλείου, το Nodejsscan έχει έναν ελάχιστο αριθμό ψευδών θετικών.
Η διεπαφή γραμμής εντολών ή η "CLI" επιτρέπει σε αυτό το εργαλείο να ενσωματώνεται με τους μεταφορείς CI / CD Devsecops. Τα αποτελέσματα θα παρουσιαστούν στον χρήστη σε μορφή JSON.
Οι εικόνες Docker μπορούν να ρυθμιστούν για το Nodejsscan χρησιμοποιώντας τα ακόλουθα βήματα:
- Πρώτον, πρέπει να βεβαιωθείτε ότι ο ίδιος ο Docker είναι εγκατεστημένος στο σύστημα.
- Ο χρήστης εγκαινιάζει την υπηρεσία Docker χρησιμοποιώντας την εντολή:
Service Docker Start.
- Στη συνέχεια, εκτελεί την ακόλουθη εντολή:
Docker Build -t Nodejsscan
- Στη συνέχεια, τελικά, εισάγει αυτήν την εντολή να εκτελέσει την εφαρμογή:
Docker run -it -p 9090: 9090 nodejsscan
Επίδειξη ολόκληρης της διαδικασίας σε ένα πρακτικό παράδειγμα- Ο χρήστης εξέτασε αυτό το εργαλείο σε ένα αποθετήριο που περιέχει ελλιπείς και ευάλωτο κώδικα.
- Η εφαρμογή Nodejsscan είναι συμβατή με τα αρχεία μορφής .zip που έχουν φορτωθεί σε αυτό. Έτσι, πρέπει πρώτα να συμπιέσετε τον κωδικό σας .js στο αρχείο .zip και, στη συνέχεια, ανοίξτε το πρόγραμμα περιήγησης και κατεβάστε ένα συμπιεσμένο αρχείο.
- Μετά τη λήψη του αρχείου ZIP, το εργαλείο θα εμφανίσει τον χρήστη μια λίστα όλων των τρωτών σημείων.
Ο συγγραφέας του μεταφρασμένου άρθρου: Sudhansu Shekhar.
Πιο ενδιαφέρον υλικό στο cisoclub.ru. Εγγραφείτε σε εμάς: Facebook | Vk | Twitter | Instagram | Τηλεγράφημα | Zen | Αγγελιοφόρος | Icq νέα | YouTube | Σφυγμός.