Tässä artikkelissa esitetään vaiheittainen opas Sast Sast-solmujen luomiseen ja käyttämiseen. Lukijat voivat tutustua ohjelman asennuksen käytännön esimerkiseen.
Nodejsscan on staattinen koodiskanneri, jota käytetään etsimään turvallisuuspuutteita solmu.js-sovelluksissa. Se on tarkasti ymmärrettävä, miten SATS: n solmuScania voidaan käyttää, jos tällainen tarve syntyy.
Asennus, asetukset ja käyttämällä Nodejsscan Scanneria- Käyttäjä asentaa Postgreja ja määrittää sen (SQLalchemy_Database_url) Core / Setting.py
- Seuraavaksi se lataa Soldejsscan-paketin GitHubin arkistosta kääntämällä tätä linkkiä.
Tämän jälkeen sinun täytyy mennä Nodejsscan-hakemistoon ja asentaa kaikki tarvittavat komponentit komennolla:
PIP3 Install -R-vaatimukset.txt
- Sinun on suoritettava tämä komento (Python3 Migrate.py) kerran luomaan tarvittavat merkinnät tietokannassa.
- "Python3 App.py" -komento suoritetaan väliaineen testaamiseksi.
- Asenna Sodejsscanin oikean toiminnan edellyttämä gunicorn, voit käyttää "Gunicorn -B 0.0.0.0.0: 19090 AP: app: sovellus" -komentoa. Se tarvitaan tuotantoympäristöön.
Tämä työkalu toimii Nodejsscan: http: //0.0.0: 9090. Jos haluat korjata, asentaa debug "TRUE" Core / Settings.py. Tämän työkalun säännöllisellä päivityksellä Nodejsscanilla on vähimmäismäärä vääriä positiivisia.
Komentorivin käyttöliittymä tai "CLI" sallii tämän työkalun integroida devsecopit CI / CD-kuljettimiin. Tulokset esitetään käyttäjälle JSON-muodossa.
Telakoinkuvia voidaan konfiguroida Nodejsscanilla käyttäen seuraavia ohjeita:
- Ensin sinun on varmistettava, että itse telakoitsija on asennettu järjestelmään.
- Käyttäjä käynnistää telakoinpalvelun komennolla:
Service Docker Start.
- Seuraavaksi se suorittaa seuraavan komennon:
Docker Build -t Nodejsscan
- Sitten lopuksi se siirtyy tähän komentoon sovelluksen suorittamiseksi:
Docker Run -it -p 9090: 9090 Nodejsscan
Koko prosessin esittely käytännöllisellä esimerkissä- Käyttäjä testasi tätä työkalua arkistoon, joka sisälsi epätäydellistä ja haavoittuvaa koodia.
- SODEJSSCAN-sovellus on yhteensopiva siihen .zip-muotoisten tiedostojen kanssa, jotka on ladattu siihen. Joten sinun on ensin pakattava .js-koodi .zip-arkistoon ja avaa selain ja lataa pakattu tiedosto.
- Kun olet ladannut zip-tiedoston, työkalu näyttää käyttäjälle luettelon kaikista haavoittuvuuksista.
Tekijä käännetty artikkeli: Sudhansu Shekhar.
Mielenkiintoisempi materiaali Cisoclub.ru. Tilaa meille: Facebook | VK | Twitter | Instagram | Telegram Zen | Messenger | ICQ uusi | YouTube | Pulssi.