Acest articol prezintă un ghid pas cu pas pentru înființarea și utilizarea NODEJSSCAN pentru SAST. Cititorii vor putea să se familiarizeze cu exemplul practic al instalării programului.
Nodejsscan este un scaner de cod static care este utilizat pentru a căuta deficiențe de securitate în aplicațiile NODE.JS. Ar trebui să fie înțeles cu precizie modul în care NODEJSSCAN pentru SAT poate fi utilizat dacă a apărut o astfel de nevoie.
Instalarea, configurarea și utilizarea scanerului NODJSSCAN- Utilizatorul instalează postgres și îl configurează (sqlalchemy_dabase_url) în Core / Setare.py
- Apoi, descărcați pachetul NODEJSSCAN din depozitul GitHub pornind acest link.
După aceea, trebuie să mergeți la directorul Nodejsscan și să instalați toate componentele necesare utilizând comanda:
PIP3 Instalare -R Cerințe.txt
- Trebuie să executați această comandă (Python3 migrate.py) o dată pentru a crea intrările necesare în baza de date.
- Comanda "Python3 App.py" este efectuată pentru a testa mediul.
- Instalați pistoalele necesare pentru funcționarea corectă a NODEJSSCAN, puteți utiliza comanda "Gunicorn -B 0.0.0.0.0: 19090 AP: App: App". Este necesar pentru mediul de producție.
Acest instrument va rula NODEJSSCAN la: http: //0.0.0: 9090. Dacă trebuie să remediați, instalați Debug la "TRUE" în Core / Setări.py. Cu actualizarea periodică a acestui instrument, NODEJSSCAN are un număr minim de pozitive false.
Interfața liniei de comandă sau "CLI" permite acest instrument să integreze cu transportoarele CI / CD DevSecops. Rezultatele vor fi prezentate utilizatorului în format JSON.
Docker Images pot fi configurate pentru NODEJSSCAN utilizând următorii pași:
- În primul rând, trebuie să vă asigurați că Docker în sine este instalat în sistem.
- Utilizatorul lansează serviciul de docker utilizând comanda:
Start Docker Start.
- Apoi, efectuează următoarea comandă:
Docker Build -t Nodejsscan
- Apoi, în cele din urmă, intră în această comandă pentru a rula aplicația:
Docker Run-it -p 9090: 9090 NODEJSSCAN
Demonstrarea întregului proces pe un exemplu practic- Utilizatorul a testat acest instrument pe un depozit care conține cod incomplet și vulnerabil.
- Aplicația Nodejsscan este compatibilă cu fișierele Format .ZIP care au fost încărcate în ea. Deci, mai întâi trebuie să vă comprimați codul .js la arhiva .zip și apoi deschideți browserul și să descărcați un fișier comprimat.
- După descărcarea fișierului zip, instrumentul va afișa utilizatorul o listă cu toate vulnerabilitățile.
Autorul articolului tradus: Sudhansu Shekhar.
Material mai interesant pe cisoclub.ru. Aboneaza-te la noi: Facebook | VK | Twitter | Instagram | Telegrama | Zen |. Messenger | ICQ Nou | YouTube | Puls.