"NodejssCan" steigimo ir naudojimo vadove SAST

Šiame straipsnyje pateikiamas žingsnis po žingsnio "NodejssCan" nustatymo ir naudojimo vietoje. Skaitytojai galės susipažinti su praktiniu programos diegimo pavyzdžiu.

Nodejsscan yra statinio kodo skaitytuvas, naudojamas ieškoti saugumo trūkumų mazge.js programų. Tai turėtų būti tiksliai suprantama, kaip nodejsscan už SAT gali būti naudojamas, jei toks poreikis atsirado.

Montavimas, sąranka ir NodejssCan skaitytuvo naudojimas

• Vartotojas diegia postgres ir sukonfigūruoja (sqlalchemy_database_url) šerdis / nustatymas.py
• Be to, jis atsisiunčia "NodejssCan" paketą iš "GitHub" saugyklos įjungiant šią nuorodą.

Po to jums reikia eiti į "Nodejsscan" katalogą ir įdiegti visus reikiamus komponentus naudodami komandą:

Pip3 įdiegti -r reikalavimus.txt

• Jūs turite atlikti šią komandą (Python3 migruoti.py) vieną kartą, kad sukurtumėte reikiamus įrašus duomenų bazėje.
• "Python3 App.py" komanda atliekama siekiant išbandyti terpę.
• Įdiekite "Gunicorn", reikalingą teisingai veikti "NodejssScan", galite naudoti "Gunicorn -B 0.0.0.0.0.0: 19090 AP: App: App" komanda. Tai reikalinga gamybos aplinkai.

Šis įrankis bus rodomas nodejsscan adresu: http: //0.0.0: 9090. Jei reikia pataisyti, įdiegti derinimą į "TRUE" į šerdį / settings.py. Su periodiškai atnaujinant šį įrankį, Nodejsscan turi minimalų skaičių klaidingų teigiamų.

Komandų eilutės sąsaja (CLI) Nodejsscan

Komandų eilutės sąsaja arba "CLI" leidžia ši priemonė integruoti su Devsecops CI / CD konvejeriais. Rezultatai bus pateikti vartotojui JSON formatu.

Docker.

"Docker" vaizdai gali būti sukonfigūruoti "NodejssScan" naudojant šiuos veiksmus:

• Pirma, jums reikia įsitikinti, kad pats docker yra įdiegtas sistemoje.
• Vartotojas pristato "Docker" paslaugą naudodami komandą:

Paslaugų docker Pradėti.

• Be to, jis atlieka šią komandą:

"Docker Build -t Nodejsscan"

• Tada, galiausiai, ji patenka į šią komandą paleisti programą:

Docker Run -it -p 9090: 9090 Nodejsscan

Viso proceso demonstravimas praktiniame pavyzdyje

• Vartotojas išbandė šį įrankį saugykloje, kurioje yra neišsamūs ir pažeidžiami kodai.
• "Nodejsscan" programa yra suderinama su .zip formato failais, kurie buvo įkelti į jį. Taigi, pirmiausia reikia suspausti savo .js kodą į .Zip archyvą ir atidarykite naršyklę ir atsisiųskite suspaustą failą.
• Atsisiuntus ZIP failą, įrankis parodys naudotojui visų pažeidžiamumo sąrašą.

Išversto straipsnio autorius: Sudhansu Shekhar.

Įdomesnė medžiaga cisoclub.ru. Prenumeruokite mums: "Facebook" VK | Twitter | Instagram | Telegrama | Zen | Messenger |. ICQ New | "YouTube" | Pulsas.