Manwal pass pass għat-twaqqif u l-użu Nodejscan għall SAST

Dan l-artikolu jippreżenta gwida pass pass għat-twaqqif u l-użu Nodejscan għal SAST. Il-qarrejja jkunu jistgħu jiffamiljarizzaw ruħhom ma 'l-eżempju prattiku ta' l-installazzjoni tal-programm.

Nodejscan huwa skaner tal-kodiċi statiku li jintuża biex ifittex nuqqasijiet fis-sigurtà fl-applikazzjonijiet Node.js. Għandu jinftiehem b'mod preċiż kif nodejscan għall Sats jistgħu jintużaw jekk tali bżonn qamet.

Installazzjoni, setup u bl-użu ta 'skaner Nodejscan

• L-utent jinstalla pillegri u jikkonfiguraha (sqlalchemy_database_url) fil-qalba / setting.py
• Sussegwentement, tniżżel il-pakkett Nodejscan mir-repożitorju tal-GitHub billi ddawwar din ir-rabta.

Wara li għandek bżonn tmur id-direttorju Nodejscan u tinstalla l-komponenti kollha meħtieġa billi tuża l-kmand:

Pip3 Installa-Rekwiżiti. Txt

• Trid teżegwixxi dan il-kmand (Python3 Migrate.py) darba biex toħloq l-iskrizzjonijiet meħtieġa fid-database.
• Il-kmand "Python3 app.py" jitwettaq sabiex jittestja l-mezz.
• Installa l-Gunicorn Meħtieġa għall-operazzjoni korretta ta 'Nodejscan, tista' tuża l- "Gunicorn -B 0.0.0.0.0: 19090 AP: App: App" kmand. Huwa meħtieġ għall-ambjent tal-produzzjoni.

Din l-għodda se tmexxi Nodejscan f ': http: //0.0.0: 9090. Jekk għandek bżonn biex tiffissa, tinstalla debug għal "vera" fil-qalba / settings.py. Bl-aġġornament perjodiku ta 'din l-għodda, in-nodejscan għandu numru minimu ta' pożittivi foloz.

Interface tal-Linja tal-Kmand (CLI) Nodejscan

Il-linja tal-kmand interface jew "CLI" tippermetti din l-għodda tintegra ma 'Devsecops CI / CD conveyors. Ir-riżultati ser jiġu ppreżentati lill-utent fil-format JSON.

Docker.

Stampi ta 'Docker jistgħu jiġu kkonfigurati għal Nodejscan bl-użu tal-passi li ġejjin:

• L-ewwel, għandek taċċerta ruħek li d-Docker innifsu huwa installat fis-sistema.
• L-utent iniedi s-servizz Docker bl-użu tal-kmand:

SERVIZZ DOCKER Start.

• Sussegwentement, twettaq il-kmand li ġej:

Docker jibnu nodejscan -t

• Imbagħad, fl-aħħar, dan jidħol dan il-kmand biex imexxu l-applikazzjoni:

Docker Run -T -P 9090: 9090 Nodejscan

Dimostrazzjoni tal-proċess kollu fuq eżempju prattiku

• L-utent ittestja din l-għodda fuq repożitorju li fih kodiċi mhux komplut u vulnerabbli.
• L-applikazzjoni Nodejscan hija kompatibbli mal-fajls format .zip li ġew mgħobbija fih. Allura, l-ewwel għandek bżonn tikkompressa l-kodiċi .JS tiegħek lill-Arkivju .zip, u mbagħad tiftaħ il-browser u tniżżel fajl ikkompressat.
• Wara li tniżżel il-fajl zip, l-għodda turi l-utent lista tal-vulnerabbiltajiet kollha.

L-awtur tal-artiklu tradott: Sudhansu Shekhar.

Materjal aktar interessanti fuq cisoclub.ru. Abbona għalina: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ Ġdid | YouTube | Impuls.