Este artigo presenta unha guía paso a paso para configurar e usar NodejsScan por SAST. Os lectores poderán familiarizarse co exemplo práctico da instalación do programa.
NodejsScan é un escáner de código estático que se usa para buscar deficiencias de seguridade nas aplicacións de Node.js. Debe ser entendido con precisión como o nodejsscan para SAT pode usarse se tal necesidade xurdiu.
Instalación, configuración e uso do escáner nodejsscan- O usuario instala Postgres e configurádeo (SQLAlchemy_database_URL) no Core / Setting.py
- A continuación, descarga o paquete de nodejsscan do repositorio GitHub activando esta ligazón.
Despois diso, ten que ir ao directorio de nodejsscan e instalar todos os compoñentes necesarios usando o comando:
Pip3 instalar requisitos.txt
- Debe executar este comando (python3 migrate.py) unha vez para crear as entradas necesarias na base de datos.
- Realízase o comando "python3 app.py" para probar o medio.
- Instala o gunicorn necesario para o correcto funcionamento do nodejsscan, pode usar o "Gunicorn -b 0.0.0.0.0: 19090 AP: App: App" Command. É necesario para o ambiente de produción.
Esta ferramenta executará nodejsscan en: http: //0.0.0: 9090. Se precisa corrixir, instale a depuración de "verdadeiro" en Core / Settings.py. Coa actualización periódica desta ferramenta, o nodejscan ten un número mínimo de falsos positivos.
A interface de liña de comandos ou "CLI" permite que esta ferramenta se integre con DevSecrops CI / CD transportadores. Os resultados presentaranse ao usuario en formato JSON.
As imaxes de Docker pódense configurar para NodejsScan usando os seguintes pasos:
- En primeiro lugar, cómpre asegurarse de que o propio Docker estea instalado no sistema.
- O usuario lanza o servizo de docker usando o comando:
Start Docker Start.
- A continuación, realiza o seguinte comando:
Docker Build -t nodejsscan
- Entón, finalmente, entra neste comando para executar a solicitude:
Docker Run -it -p 9090: 9090 Nodejsscan
Demostración de todo o proceso nun exemplo práctico- O usuario probou esta ferramenta nun repositorio que contén un código incompleto e vulnerable.
- A aplicación Nodejsscan é compatible cos ficheiros de formato .zip que foron cargados nel. Entón, primeiro cómpre comprimir o seu código .JS no arquivo .zip e, a continuación, abra o navegador e descargue un ficheiro comprimido.
- Despois de descargar o ficheiro ZIP, a ferramenta mostrará ao usuario unha lista de todas as vulnerabilidades.
O autor do artigo traducido: Sudhansu Shekhar.
Material máis interesante sobre CISOCLUB.RU. Subscríbete a Estados Unidos: Facebook | VK | Twitter | Instagram | Telegram | Zen | Mensaxeiro | ICQ Novo | YouTube | Pulse.