Artikel ini membentangkan panduan langkah demi langkah untuk menubuhkan dan menggunakan Nodejsscan untuk SAST. Pembaca akan dapat membiasakan diri dengan contoh praktikal pemasangan program.
Nodejsscan adalah pengimbas kod statik yang digunakan untuk mencari kekurangan keselamatan dalam aplikasi Node.js. Ia sepatutnya difahami dengan tepat bagaimana Nodejsscan untuk SAT boleh digunakan jika keperluan tersebut timbul.
Pemasangan, persediaan dan menggunakan pengimbas nodejsscan- Pengguna memasang postgres dan mengkonfigurasi (sqlalchemy_database_url) dalam teras / tetapan.py
- Seterusnya, ia memuat turun pakej Nodejsscan dari repositori GitHub dengan menghidupkan pautan ini.
Selepas itu anda perlu pergi ke direktori Nodejsscan dan memasang semua komponen yang diperlukan menggunakan arahan:
Pip3 INSTALLING -RECTS.TXT
- Anda mesti melaksanakan arahan ini (Python3 Migrate.py) sekali untuk membuat penyertaan yang diperlukan dalam pangkalan data.
- Perintah "Python3 App.py" dilakukan untuk menguji medium.
- Pasang Gunicorn yang diperlukan untuk operasi Nodejsscan yang betul, anda boleh menggunakan arahan "Gunicorn -B 0.0.0.0: 19090 AP: app: aplikasi". Ia diperlukan untuk persekitaran pengeluaran.
Alat ini akan menjalankan Nodejsscan di: http: //0.0.0: 9090. Sekiranya anda perlu membetulkan, memasang debug ke "benar" dalam teras / tetapan. Dengan kemas kini berkala alat ini, Nodejsscan mempunyai bilangan minimum positif palsu.
Antara muka baris perintah atau "Cli" membolehkan alat ini mengintegrasikan dengan penghantar CI / CD Devsecops. Hasilnya akan dibentangkan kepada pengguna dalam format JSON.
Imej Docker boleh dikonfigurasikan untuk Nodejsscan menggunakan langkah-langkah berikut:
- Pertama, anda perlu memastikan bahawa docker itu sendiri dipasang dalam sistem.
- Pengguna melancarkan perkhidmatan Docker menggunakan arahan:
Perkhidmatan Docker Mula.
- Seterusnya, ia melakukan arahan berikut:
Docker build -t nodejsscan
- Kemudian, akhirnya, ia memasuki arahan ini untuk menjalankan permohonan itu:
Docker Run -It -p 9090: 9090 Nodejsscan
Demonstrasi keseluruhan proses pada contoh praktikal- Pengguna menguji alat ini pada repositori yang mengandungi kod yang tidak lengkap dan terdedah.
- Aplikasi Nodejsscan adalah serasi dengan fail format .zip yang telah dimuatkan ke dalamnya. Jadi, anda perlu terlebih dahulu memampatkan kod .js anda ke arkib .zip, dan kemudian buka penyemak imbas dan muat turun fail yang dimampatkan.
- Selepas memuat turun fail zip, alat ini akan menunjukkan pengguna senarai semua kelemahan.
Pengarang artikel yang diterjemahkan: Sudhansu Shekhar.
Bahan yang lebih menarik di Cisoclub.ru. Langgan kepada kami: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ baru | YouTube | Pulse.