Tento článok predstavuje krok za krokom na vytvorenie a používanie NODEJSSCAN PRE SAST. Čitatelia budú môcť oboznámiť s praktickým príkladom inštalácie programu.
Nodejsscan je statický kódový skener, ktorý sa používa na vyhľadávanie bezpečnostných nedostatkov v aplikáciách NODE.JS. Treba presne pochopiť, ako sa NODEJSSCAN pre SATS môže použiť, ak takáto potreba vznikla.
Inštalácia, nastavenie a pomocou skenera Nodejsscan- Užívateľ nainštaluje postgres a nakonfiguruje (Sqlalchemy_database_url) v jadre / setting.py
- Ďalej stiahne balík Nodejsscan z úložiska githubu tým, že zapnete tento odkaz.
Potom musíte ísť do adresára NODEJSSCAN a nainštalovať všetky potrebné komponenty pomocou príkazu:
PIP3 Install -r Požiadavky.txt
- Tento príkaz musíte vykonať raz (Python3 Migrate.py), aby ste vytvorili potrebné položky v databáze.
- Príkaz "python3 app.py" sa vykonáva s cieľom otestovať médium.
- Nainštalujte Genticorn Vyžaduje sa na správnu prevádzku NODEJSSCAN, môžete použiť "Gunicorn -B 0.0.0.0.0: 19090 AP: APP: APP" Príkaz. Je to potrebné pre výrobné prostredie.
Tento nástroj bude spustiť Nodejsscan at: http: //0.0.0: 9090. Ak potrebujete opraviť, nainštalujte ladenie na "True" v jadre / settings.py. S periodickou aktualizáciou tohto nástroja má NODEJSSCAN minimálny počet falošných pozitív.
Rozhranie príkazového riadka alebo "CLI" umožňuje tento nástroj integrovať s DEVSECOPS CI / CD Dopravníckymi dopravníkmi. Výsledky budú prezentované používateľovi vo formáte JSON.
Docker Obrázky môžu byť nakonfigurované pre NODEJSSCAN pomocou nasledujúcich krokov:
- Po prvé, musíte sa uistiť, že je v systéme nainštalovaný samotný Docker.
- Používateľ spustí službu Docker pomocou príkazu:
Štart service Docker.
- Ďalej vykonáva nasledujúci príkaz:
Docker Build -T Nodejsscan
- Potom, nakoniec, vstupuje do tohto príkazu na spustenie aplikácie:
Docker Run -it -P 9090: 9090 Nodejsscan
Ukážka celého procesu v praxi- Užívateľ testoval tento nástroj na archíve obsahujúcej neúplný a zraniteľný kód.
- Aplikácia NODEJSSCAN je kompatibilná so súbormi formátovania .zip, ktoré boli do nej naložené. Takže, musíte najprv stlačiť svoj kód .js na Archív .zip a potom otvorte prehliadač a stiahnite si komprimovaný súbor.
- Po stiahnutí súboru ZIP sa nástroj zobrazí používateľ zoznam všetkých zraniteľností.
Autor preloženého článku: Sudhansu Shekhar.
Zaujímavejší materiál na cisoclub.ru. Prihlásiť sa na nás: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NOVÉ | YouTube | Pulz.