Ang artikulong ito ay nagtatanghal ng isang step-by-step na gabay sa pag-set up at paggamit ng nodejsscan para sa sast. Magagawa ng mga mambabasa na maging pamilyar sa mga praktikal na halimbawa ng pag-install ng programa.
Ang NodeJSSCAN ay isang static code scanner na ginagamit upang maghanap ng mga deficiencies ng seguridad sa mga application ng Node.js. Dapat itong tumpak na maunawaan kung paano maaaring gamitin ang nodejsscan para sa mga SAT kung ang naturang pangangailangan ay lumitaw.
Pag-install, pag-setup at paggamit ng NodejsScan Scanner- Ang gumagamit ay nag-i-install ng mga postgres at configures ito (sqlalchemy_database_url) sa core / setting.py
- Susunod, nagda-download ito ng nodejsscan na pakete mula sa repository ng GitHub sa pamamagitan ng pag-on sa link na ito.
Pagkatapos nito kailangan mong pumunta sa direktoryo ng nodejsscan at i-install ang lahat ng mga kinakailangang sangkap gamit ang command:
Pip3 install -r kinakailangan.txt.
- Dapat mong isagawa ang command na ito (Python3 migrate.py) isang beses upang lumikha ng mga kinakailangang entry sa database.
- Ang utos na "Python3 App.py" ay ginaganap upang masubukan ang daluyan.
- I-install ang gunicorn na kinakailangan para sa tamang operasyon ng nodejsscan, maaari mong gamitin ang "gunicorn -b 0.0.0.0.0: 19090 AP: app: app" command. Ito ay kinakailangan para sa kapaligiran ng produksyon.
Ang tool na ito ay tatakbo nodejsscan sa: http: //0.0.0: 9090. Kung kailangan mong ayusin, i-install ang debug sa "totoo" sa core / settings.py. Sa pana-panahong pag-update ng tool na ito, ang nodejsscan ay may pinakamababang bilang ng mga maling positibo.
Ang interface ng command line o "CLI" ay nagbibigay-daan sa tool na ito upang maisama ang mga conveyor ng Devsecops CI / CD. Ang mga resulta ay ipapakita sa user sa JSON format.
Maaaring i-configure ang mga imahe ng Docker para sa nodejsscan gamit ang mga sumusunod na hakbang:
- Una, kailangan mong tiyakin na ang Docker mismo ay naka-install sa system.
- Inilunsad ng user ang serbisyo ng Docker gamit ang command:
Magsimula ang Docker ng Serbisyo.
- Susunod, ginagawa nito ang sumusunod na command:
Docker build -t nodejsscan.
- Pagkatapos, sa wakas, pumapasok ito sa utos na patakbuhin ang application:
Docker Run -It -p 9090: 9090 Nodejsscan.
Demonstrasyon ng buong proseso sa isang praktikal na halimbawa- Sinubukan ng user ang tool na ito sa isang repository na naglalaman ng hindi kumpleto at mahina na code.
- Ang application ng NodeJSSCAN ay katugma sa .zip na format ng mga file na na-load sa ito. Kaya, kailangan mo munang i-compress ang iyong .js code sa .zip archive, at pagkatapos ay buksan ang browser at i-download ang isang naka-compress na file.
- Pagkatapos i-download ang zip file, ipapakita ng tool ang gumagamit ng isang listahan ng lahat ng mga kahinaan.
Ang may-akda ng isinalin na artikulo: Sudhansu Shekhar.
Mas kawili-wiling materyal sa cisoclub.ru. Mag-subscribe sa amin: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ Bago | Youtube | Pulso.