Ta članek predstavlja vodnik po korakih za vzpostavitev in uporabo nodejsscan za SAST. Bralci se bodo lahko seznanili s praktičnim primerom namestitve programa.
NodejsScan je statični skener kode, ki se uporablja za iskanje varnostnih pomanjkljivosti v aplikacijah Node.js. To je treba natančno razumeti, kako se lahko uporabi nodejsscan za SATS, če je nastala taka potreba.
Namestitev, nastavitev in uporabo nodejssan skenerja- Uporabnik namesti postgres in ga konfigurira (sqlalchemy_database_url) v jedru / nastavitve.py
- Nato prenese paket NodejsScan iz GitHub Repository z vklopom to povezavo.
Po tem, da morate iti v imenik nodejsscan in namestiti vse potrebne komponente z ukazom:
Pip3 Install -r zahteve.txt
- Ta ukaz morate izvesti (Python3 Migriate.py), da ustvarite potrebne vnose v bazi podatkov.
- Ukaz "Python3 App.py" se izvede, da se preskuša medij.
- Namestite, da je potreben Gunicorn za pravilno delovanje nodejssan, lahko uporabite "Gunicorn -B 0.0.0.0.0: 19090 AP: App: App" ukaz. Potrebno je za proizvodno okolje.
To orodje bo vodilo nodejsscan na: http: //0.0.0: 9090. Če želite popraviti, namestite razpravo na "true" v Core / Settings.py. Z periodično posodobitvijo tega orodja ima nodejsscan najmanjše število napačnih pozitivnih.
Vmesnik ukazne vrstice ali "CLI" omogoča to orodje za integracijo z DEVSECOPS CI / CD transporterji. Rezultati bodo predstavljeni uporabniku v formatu JSON.
Docker slike lahko konfigurirate za nodejsscan z naslednjimi koraki:
- Najprej se morate prepričati, da je v sistemu nameščen Docker.
- Uporabnik zažene storitev Docker z ukazom:
Začetek servisnega Docker.
- Nato izvede naslednji ukaz:
Docker graditi -t nodejsscan
- Potem, končno, vstopi v ta ukaz za zagon aplikacije:
Docker Run -I -P 9090: 9090 Nodejsscan
Predstavitev celotnega procesa na praktičnem primeru- Uporabnik je to orodje testiral na skladišču, ki vsebuje nepopolno in ranljivo kodo.
- Aplikacija Nodejsscan je združljiva z datotekami formata .zip, ki so bile naložene v njem. Torej, morate najprej stisniti svojo kodo .JS na arhiv .zip, nato pa odprite brskalnik in prenesite stisnjeno datoteko.
- Po prenosu datoteke ZIP bo orodje uporabniku prikazalo seznam vseh ranljivosti.
Avtor prevedenega članka: Sudhansu Shekhar.
Bolj zanimivo gradivo na Cisoclub.ru. Naročite se na nas: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ novo | YouTube | Pulse.