Podręcznik krok po kroku do konfigurowania i używania NodeJsscan dla Sast

W tym artykule przedstawia prowadnicę krok po kroku, aby utworzyć i stosować NodeJsscan dla Sast. Czytelnicy będą mogli zapoznać się z praktycznym przykładem instalacji programu.

Nodejsscan to skaner kodu statycznego, który służy do wyszukiwania niedociągnięć bezpieczeństwa w aplikacjach węzłów. Powinien być dokładnie rozumiany, jak można zastosować Nodejsscan dla SATS, jeśli pojawiła się taka potrzeba.

Instalacja, konfiguracja i za pomocą skanera Nodejsscan

• Użytkownik instaluje Postgres i konfiguruje go (sqlalchemy_database_url) w rdzeniu / ustawieniu.py
• Następnie pobiera pakiet NodeJsscan z repozytorium Github, włączając ten link.

Po tym musisz przejść do katalogu Nodejsscan i zainstalować wszystkie niezbędne komponenty za pomocą polecenia:

PIP3 Install -r wymagania .txt

• Musisz wykonać ten polecenie (Python3 migrate.py) raz, aby utworzyć niezbędne wpisy w bazie danych.
• Polecenie "Appon3 App.py" jest wykonywane w celu przetestowania medium.
• Zainstaluj Gunikorn Wymagany do prawidłowej obsługi Nodejsscan, można użyć "Gunicorn -B 0.0.0.0.0: 19090 AP: App: App" Command. Jest potrzebny do środowiska produkcyjnego.

To narzędzie uruchomi Nodejsscan pod adresem: http: //0.0.0: 9090. Jeśli musisz naprawić, zainstalować debugowanie na "True" w Core / Ustawienia.py. Dzięki okresowej aktualizacji tego narzędzia Nodejsscan ma minimalną liczbę fałszywych pozytywów.

Interfejs wiersza poleceń (CLI) Nodejsscan

Interfejs linii poleceń lub "CLI" umożliwia integrację tego narzędzia z przenośnikami DEVSECOPS CI / CD. Wyniki zostaną przedstawione użytkownikowi w formacie JSON.

Doker.

Obrazy dokująca można skonfigurować dla NodeJsScan przy użyciu następujących kroków:

• Po pierwsze, musisz upewnić się, że sam dokujący jest zainstalowany w systemie.
• Użytkownik uruchamia usługę dokera za pomocą polecenia:

Start dokera serwisowego.

• Następnie wykonuje następujące polecenie:

Docker Build -t Nodejsscan

• W końcu wchodzi do tego polecenia, aby uruchomić aplikację:

Docker Run -it -P 9090: 9090 Nodejsscan

Demonstracja całego procesu na praktyczny przykład

• Użytkownik przetestował to narzędzie na repozytorium zawierającym niekompletny i wrażliwy kod.
• Aplikacja NodeJsScan jest kompatybilny z plikami formatu .zip, które zostały załadowane do niego. Więc najpierw musisz kompresować kod .js do archiwum .zip, a następnie otwórz przeglądarkę i pobierz plik skompresowany.
• Po pobraniu pliku ZIP narzędzie pokaże użytkownika listę wszystkich luk.

Autor przetłumaczonego artykułu: Sudhansu Shekhar.

Bardziej interesujący materiał na cisoclub.ru. Subskrybuj nam: Facebook | Vk |. Twitter |. Instagram |. Telegram |. Zen |. Messenger |. ICQ Nowy |. YouTube |. Puls.