Käesolevas artiklis esitatakse samm-sammulise juhendi NodejSscani seadistamiseks ja kasutamiseks Sast. Lugejad saavad tutvuda programmi paigaldamise praktilise näitega.
NodejSScan on staatiline koodi skanner, mida kasutatakse turvalisuse puuduste otsimiseks Node.js rakendustes. See peaks olema täpselt arusaadav, kuidas NODEJSSSSSSSSSSSSSScani jaoks on võimalik kasutada, kui selline vajadus tekkis.
NODEJSSCAN SCANNER paigaldamine, seadistamine ja kasutamine- Kasutaja installib postgresi ja konfigureerib selle (SQLalchemy_Database_url) südamikus / seadistuses.
- Järgmisena allalaadimise NodejScan paketi GitHub hoidla keerates selle lingi.
Pärast seda peate minema NodejScani kataloogi ja installige kõik vajalikud komponendid käsu abil:
PIP3 install -R nõuded.txt
- Te peate selle käsu teostama (Python3 migrate.py) üks kord, et luua andmebaasi vajalikud kirjed.
- "Python3 app.py" käsk toimub keskmise testimiseks.
- Installige NodejSscani õige töö jaoks vajalik gunikorn, mida saate kasutada "gunsorn-b 0.0.0.0: 19090 AP: app: rakendus" käsk. See on vajalik tootmise keskkonnas.
See tööriist käivitab NodejSScan at: http: //0.0.0: 9090. Kui teil on vaja parandada, paigaldage silumine "TRUE" südamiku / Settings.Py. Selle tööriista perioodilise ajakohastamisega on NodeJSScanil minimaalne valepositiivsete arv.
Käsurea liidese või "CLI" võimaldab sellel tööriista integreerida DevSecops CI / CD konveieridega. Tulemused esitatakse kasutajale JSON-vormingus.
Docker pilte saab konfigureerida NodejScanile, kasutades järgmisi samme:
- Esiteks peate veenduma, et Docker ise on süsteemi installitud.
- Kasutaja käivitab Dockeri teenuse käsu abil:
Teenuse dokk algab.
- Seejärel teostab see järgmist käsku:
Docker Build -T NodejSscan
- Siis lõpuks siseneb see selle käsu rakenduse käivitamiseks:
Docker Run -T -P 9090: 9090 NodejScan
Kogu protsessi demonstreerimine praktilises näites- Kasutaja testi seda vahendit mittetäieliku ja haavatava koodi sisaldava hoidlasse.
- NODEJSSCAN rakendus on ühilduv IZIP-vormingu failidega, mis on talle laaditud. Niisiis, te peate kõigepealt tihendama oma .js koodi .zip arhiivi ja seejärel avage brauser ja laadige alla surufail.
- Pärast ZIP-faili allalaadimist näitab tööriist kasutaja kõigi haavatavuste loendist.
Tõlgitud artikli autor: Sudhansu Shekhar.
Huvitavamat materjali Cisoclub.ru. Telli US: Facebook | VK | Twitter | Instagram | Telegramm | Zen | Messenger | ICQ Uus | YouTube | Impulsi.