Ez a cikk lépésenkénti útmutatót mutat be a nodejsscan beállításához és használatához a SAST számára. Az olvasók képesek lesznek megismerni magukat a program telepítésének gyakorlati példájával.
A Nodejsscan egy statikus kódszkenner, amelyet biztonsági hiányosságokat keresnek a NODE.JS alkalmazásokban. Pontosan meg kell érteni, hogy a Nodejsscan a SAT-k számára használható, ha ilyen szükséglet merült fel.
Telepítés, Beállítás és Nodejsscan szkenner használata- A felhasználó telepíti a posztgres és konfigurálja (sqlalchemy_database_url) a mag / setting.py
- Ezután letölti a Nodejsscan csomagot a Githubtárból a link bekapcsolásával.
Ezután el kell mennie a Nodejsscan könyvtárba, és telepítenie kell az összes szükséges összetevőt a parancs használatával:
Pip3 install -r követelmények.txt
- Ezt a parancsot kell végrehajtania (Python3 migrate.py.py) egyszer az adatbázis szükséges bejegyzéseinek létrehozásához.
- A "Python3 App.py" parancsot a közeg teszteléséhez hajtják végre.
- Telepítse a GUNICORN szükséges megfelelő működéséhez Nodejsscan, akkor használja a "GUNICORN -B 0.0.0.0.0: 19090 AP: App: App" parancsot. A termelési környezethez szükséges.
Ez az eszköz a Nodejsscan-t a következő címen futtatja: http: //0.0.0: 9090. Ha ki kell javítania, telepítse a hibakeresést "True" -ra a mag / Settings.py. Az eszköz periodikus frissítésével a Nodejsscan minimális számú hamis pozitívummal rendelkezik.
Command Line Interface vagy "CLI" lehetővé teszi ezt az eszközt, hogy integrálja DevSecops CI / CD szállítószalagok. Az eredményeket a JSON formátumú felhasználónak mutatják be.
A dokkoló képek konfigurálhatók a Nodejsscan számára a következő lépésekkel:
- Először is meg kell győződnie arról, hogy a dokkoló maga a rendszerbe van telepítve.
- A felhasználó elindítja a dokkolószolgálatot a parancs használatával:
Service Docker Start.
- Ezután végrehajtja a következő parancsot:
Docker build -t nodejsscan
- Ezután végül beírja ezt a parancsot az alkalmazás futtatásához:
Docker Run -it -P 9090: 9090 Nodejsscan
Az egész folyamat gyakorlati példáján történő bemutatása- A felhasználó ezt az eszközt tesztelte a hiányos és sérülékeny kódot tartalmazó tárhelyen.
- A Nodejsscan alkalmazás kompatibilis a .zip formátumú fájlokkal, amelyek betöltötték benne. Tehát, akkor először meg kell tömöríteni a Js kódot a .zip archívum, majd nyissa meg a böngészőt, és töltse le a tömörített fájlt.
- A ZIP fájl letöltése után az eszköz megjeleníti a felhasználó listáját az összes biztonsági résről.
A lefordított cikk szerzője: Sudhansu Shekhar.
További érdekes anyag a Cisoclub.ru-n. Feliratkozás ránk: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ új | YouTube | Impulzus.