Cet article présente un guide étape par étape pour la mise en place et l'utilisation de NodejsScan pour SAST. Les lecteurs pourront se familiariser avec l'exemple pratique de l'installation du programme.
NodejsScan est un scanner de code statique utilisé pour rechercher des déficiences de sécurité dans les applications Node.js. Il devrait être compris avec précision comment NodejsScan pour SATS peut être utilisé si un tel besoin est apparu.
Installation, configuration et utilisation de NodejsScan Scanner- L'utilisateur installe Postgres et la configure (SQLALCHEMY_DATABASE_URL) dans Core / SETTING.PY
- Ensuite, il télécharge le package NodejsScan à partir du référentiel GitHub en mettant sur ce lien.
Après cela, vous devez aller au répertoire NodejsScan et installer tous les composants nécessaires à l'aide de la commande:
Pip3 install -r Configuration requise.txt
- Vous devez exécuter cette commande (python3 migrate.py) une fois pour créer les entrées nécessaires dans la base de données.
- La commande "python3 app.py" est effectuée afin de tester le support.
- Installez le gunlorn requis pour le bon fonctionnement de NodejsScan, vous pouvez utiliser "Gunicorn -b 0.0.0.0.0.0.0: 19090 AP: app: app: app". Il est nécessaire pour l'environnement de production.
Cet outil fonctionnera NodejsScan à l'adresse http: //0.0.0: 9090. Si vous devez corriger, installez le débogage sur «true» dans Core / Params.py. Avec la mise à jour périodique de cet outil, le NodejsScan a un nombre minimum de faux positifs.
Interface de ligne de commande ou "CLI" permet à cet outil d'intégrer avec les convoyeurs de devsecops CI / CD. Les résultats seront présentés à l'utilisateur au format JSON.
Les images Docker peuvent être configurées pour NodejsScan en utilisant les étapes suivantes:
- Premièrement, vous devez vous assurer que le docker lui-même est installé dans le système.
- L'utilisateur lance le service Docker à l'aide de la commande:
Docker de service Docker.
- Ensuite, il effectue la commande suivante:
Docker Build -t NodejsScan
- Ensuite, enfin, il entre dans cette commande pour exécuter l'application:
Docker Run -it -P 9090: 9090 NodejsScan
Démonstration de l'ensemble du processus sur un exemple pratique- L'utilisateur a testé cet outil sur un référentiel contenant du code incomplet et vulnérable.
- L'application NodejsScan est compatible avec les fichiers de format .zip qui y sont chargés. Donc, vous avez d'abord besoin de compresser votre code .js à l'archive .zip, puis ouvrez le navigateur et téléchargez un fichier compressé.
- Après avoir téléchargé le fichier ZIP, l'outil affichera l'utilisateur une liste de toutes les vulnérabilités.
L'auteur de l'article traduit: Sudhansu Shekhar.
Matériau plus intéressant sur cisoClub.ru. Abonnez-vous à nous: Facebook | Vk | Twitter | Instagram | Télégramme | Zen | Messager | ICQ nouveau | YouTube | Impulsion.