![คู่มือทีละขั้นตอนสำหรับการตั้งค่าและการใช้ Nodejsscan สำหรับ SAST 4370_1](/userfiles/21/4370_1.webp)
บทความนี้นำเสนอคำแนะนำทีละขั้นตอนในการตั้งค่าและการใช้ Nodejsscan สำหรับ SAST ผู้อ่านจะสามารถทำความคุ้นเคยกับตัวอย่างที่ใช้งานได้จริงของการติดตั้งโปรแกรม
NodejsScan เป็นเครื่องสแกนรหัสแบบคงที่ที่ใช้ในการค้นหาข้อบกพร่องด้านความปลอดภัยในแอปพลิเคชัน node.js ควรเข้าใจอย่างถูกต้องว่า Nodejsscan สำหรับ SAT สามารถใช้งานได้อย่างไรหากจำเป็นต้องเกิดขึ้น
การติดตั้งตั้งค่าและการใช้สแกนเนอร์ nodejsscan- ผู้ใช้ติดตั้ง Postgres และกำหนดค่า (sqlalchemy_database_url) ในหลัก / การตั้งค่า
- ถัดไปมันจะดาวน์โหลดแพ็คเกจ NodejsScan จากที่เก็บ GitHub โดยการเปิดลิงก์นี้
![คู่มือทีละขั้นตอนสำหรับการตั้งค่าและการใช้ Nodejsscan สำหรับ SAST 4370_2](/userfiles/21/4370_2.webp)
หลังจากนั้นคุณต้องไปที่ไดเร็กทอรี nodejsscan และติดตั้งคอมโพเนนต์ที่จำเป็นทั้งหมดโดยใช้คำสั่ง:
pip3 ติดตั้งข้อกำหนด -r.txt
![คู่มือทีละขั้นตอนสำหรับการตั้งค่าและการใช้ Nodejsscan สำหรับ SAST 4370_3](/userfiles/21/4370_3.webp)
- คุณต้องดำเนินการคำสั่งนี้ (Python3 Migrate.py) หนึ่งครั้งเพื่อสร้างรายการที่จำเป็นในฐานข้อมูล
- คำสั่ง "Python3 App.py" ดำเนินการเพื่อทดสอบสื่อ
- ติดตั้ง Gunicorn ที่จำเป็นสำหรับการทำงานที่ถูกต้องของ NodeJSScan คุณสามารถใช้คำสั่ง "Gunicorn -b 0.0.0.0.0.0. : 19090 AP: App: App" เป็นสิ่งจำเป็นสำหรับสภาพแวดล้อมการผลิต
![คู่มือทีละขั้นตอนสำหรับการตั้งค่าและการใช้ Nodejsscan สำหรับ SAST 4370_4](/userfiles/21/4370_4.webp)
เครื่องมือนี้จะเรียกใช้ NodeJSScan ที่: http: //0.0.0: 9090 หากคุณต้องการแก้ไขให้ติดตั้ง debug เป็น "true" ใน core / settings.py ด้วยการอัปเดตเป็นระยะของเครื่องมือนี้ NodejsScan มีจำนวนขั้นต่ำของผลบวกที่ผิดพลาด
![คู่มือทีละขั้นตอนสำหรับการตั้งค่าและการใช้ Nodejsscan สำหรับ SAST 4370_5](/userfiles/21/4370_5.webp)
อินเทอร์เฟซบรรทัดคำสั่งหรือ "CLI" ช่วยให้เครื่องมือนี้ทำงานร่วมกับระบบปฏิบัติการ DevSecops CI / CD ผลลัพธ์จะถูกนำเสนอต่อผู้ใช้ในรูปแบบ JSON
![คู่มือทีละขั้นตอนสำหรับการตั้งค่าและการใช้ Nodejsscan สำหรับ SAST 4370_6](/userfiles/21/4370_6.webp)
สามารถกำหนดค่ารูปภาพ Docker สำหรับ NodeJSScan โดยใช้ขั้นตอนต่อไปนี้:
- ก่อนอื่นคุณต้องตรวจสอบให้แน่ใจว่ามีการติดตั้ง Docker เองในระบบ
- ผู้ใช้เปิดใช้งานบริการ Docker โดยใช้คำสั่ง:
บริการ Docker เริ่มต้น
- ถัดไปจะทำคำสั่งต่อไปนี้:
Docker สร้าง -t nodejsscan
- จากนั้นในที่สุดมันจะเข้าสู่คำสั่งนี้เพื่อเรียกใช้แอปพลิเคชัน:
Docker Run -it -p 9090: 9090 NodejsScan
การสาธิตกระบวนการทั้งหมดในตัวอย่างที่ใช้งานได้จริง- ผู้ใช้ทดสอบเครื่องมือนี้บนพื้นที่เก็บข้อมูลที่มีรหัสที่ไม่สมบูรณ์และมีช่องโหว่
- แอปพลิเคชัน NodeJSScan เข้ากันได้กับไฟล์รูปแบบ. zip ที่ถูกโหลดลงในนั้น ดังนั้นคุณต้องบีบอัดรหัส. js ของคุณเป็นครั้งแรกกับไฟล์เก็บถาวร. zip แล้วเปิดเบราว์เซอร์และดาวน์โหลดไฟล์บีบอัด
- หลังจากดาวน์โหลดไฟล์ zip เครื่องมือจะแสดงรายชื่อผู้ใช้ช่องโหว่ทั้งหมด
![คู่มือทีละขั้นตอนสำหรับการตั้งค่าและการใช้ Nodejsscan สำหรับ SAST 4370_7](/userfiles/21/4370_7.webp)
![คู่มือทีละขั้นตอนสำหรับการตั้งค่าและการใช้ Nodejsscan สำหรับ SAST 4370_8](/userfiles/21/4370_8.webp)
ผู้เขียนบทความที่แปล: Sudhansu Shekhar
วัสดุที่น่าสนใจมากขึ้นบน cisoclub.ru สมัครสมาชิกกับเรา: Facebook | vk | ทวิตเตอร์ | Instagram โทรเลข เซน | Messenger | ICQ ใหม่ | YouTube | ชีพจร.