Makala hii inatoa mwongozo wa hatua kwa hatua ya kuanzisha na kutumia Nodejsscan kwa Sast. Wasomaji wataweza kujitambulisha na mfano wa vitendo wa ufungaji wa programu.
Nodejsscan ni scanner ya msimbo wa static ambayo hutumiwa kutafuta upungufu wa usalama katika maombi ya node.js. Inapaswa kueleweka kwa usahihi jinsi nodejsscan kwa SAT inaweza kutumika kama haja hiyo iliondoka.
Ufungaji, kuanzisha na kutumia Scanner ya Nodejsscan.- Mtumiaji anaweka postgres na anasanidi (sqlalchemy_database_url) katika msingi / kuweka.py
- Kisha, inapakua mfuko wa Nodejsscan kutoka kwenye hifadhi ya GitHub kwa kugeuka kwenye kiungo hiki.
Baada ya hapo unahitaji kwenda kwenye saraka ya nodejsscan na kufunga vipengele vyote muhimu kwa kutumia amri:
Pip3 kufunga -r mahitaji.txt.
- Lazima ufanyie amri hii (Python3 Migrate.py) mara moja ili kuunda entries muhimu katika databana.
- Amri ya "Python3 App.py" inafanywa ili kupima kati.
- Sakinisha gunicorn required kwa operesheni sahihi ya nodejsscan, unaweza kutumia "Gunicorn -B 0.0.0.0.0: 19090 AP: App: App" amri. Inahitajika kwa mazingira ya uzalishaji.
Chombo hiki kitaendesha Nodejsscan katika: http: //0.0.0: 9090. Ikiwa unahitaji kurekebisha, funga debug kwa "kweli" katika msingi / mipangilio.py. Kwa sasisho la mara kwa mara la chombo hiki, nodejsscan ina idadi ndogo ya chanya cha uongo.
Interface ya mstari wa amri au "CLI" inaruhusu chombo hiki kuunganisha na devsecops CI / CD conveyors. Matokeo yatawasilishwa kwa mtumiaji katika muundo wa JSON.
Picha za Docker zinaweza kusanidiwa kwa Nodejsscan kwa kutumia hatua zifuatazo:
- Kwanza, unahitaji kuhakikisha kwamba docker yenyewe imewekwa kwenye mfumo.
- Mtumiaji huzindua huduma ya docker kwa kutumia amri:
SERVICE DOCKER START.
- Kisha, inafanya amri ifuatayo:
Docker kujenga -t nodejsscan.
- Kisha, hatimaye, inaingia amri hii ya kuendesha maombi:
Docker Run -IT -p 9090: 9090 Nodejsscan.
Maonyesho ya mchakato mzima kwa mfano wa vitendo.- Mtumiaji alijaribu chombo hiki kwenye hifadhi iliyo na msimbo usio kamili na wenye hatari.
- Programu ya Nodejsscan inaambatana na faili za muundo wa .zip ambazo zimebeba ndani yake. Kwa hiyo, wewe kwanza unahitaji compress code yako ya .JS kwenye archive ya .zip, na kisha ufungue kivinjari na kupakua faili iliyosimamiwa.
- Baada ya kupakua faili ya zip, chombo kitaonyesha mtumiaji orodha ya udhaifu wote.
Mwandishi wa makala iliyotafsiriwa: Sudhansu Shekhar.
Vifaa vya kuvutia zaidi kwenye cisoclub.ru. Kujiunga na sisi: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Mtume | ICQ Mpya | YouTube | Pulse.