Bu makale, SAST için NODEJSSCAN'ı kurmak ve kullanmak için adım adım kılavuz sunar. Okuyucular, program kurulumunun pratik bir örneğine sahipler.
NODEJSSCAN, NODE.JS uygulamalarında güvenlik eksikliklerini aramak için kullanılan statik bir kod tarayıcısıdır. Böyle bir ihtiyaç ortaya çıktığında, SATS için NODEJSSCAN'ın nasıl kullanılabileceği doğru bir şekilde anlaşılmalıdır.
Kurulum, kurulum ve nodejsscan tarayıcıyı kullanma- Kullanıcı, Çekirdek / Ayar.py'de postgress yükler ve onu (sqlalchemy_database_url) yapılandırır.
- Daha sonra, bu bağlantıyı açarak NODEJSSCAN paketini GitHub deposundan indirir.
Bundan sonra NODEJSSCAN dizinine gitmeniz ve komutu kullanarak gerekli tüm bileşenleri yüklemeniz gerekir:
PIP3 KURULUM -R gereksinimleri.txt
- Veritabanındaki gerekli girişleri oluşturmak için bu komutu (Python3 migrate.py) bir kez çalıştırmanız gerekir.
- Ortamı test etmek için "Python3 App.py" komutu yapılır.
- NODEJSSCAN'ın doğru çalışması için gerekli Gunicorn'ı yükleyin, "gunicorn -b 0.0.0.0.0.0: 19090 AP: App: App" komutunu kullanabilirsiniz. Üretim ortamı için gereklidir.
Bu araç NODEJSSCAN'ı çalıştırır: http: //0.0.0: 9090. Düzeltmeniz gerekiyorsa, Çekirdek / Ayarlar.py'deki hata ayıklamayı "True" den yükleyin. Bu aracın periyodik güncellemesiyle, NODEJSSCAN minimum yanlış pozitif var.
Komut satırı arayüzü veya "CLI", bu aracın DevSecops CI / CD konveyörleri ile bütünleşmesine izin verir. Sonuçlar, kullanıcıya JSON formatında sunulacaktır.
Docker görüntüleri, aşağıdaki adımları kullanarak NODEJSSCAN için yapılandırılabilir:
- İlk olarak, Docker'in sisteme yüklendiğinden emin olmanız gerekir.
- Kullanıcı, komutu kullanarak Docker hizmetini başlatır:
Servis Docker Başlat.
- Daha sonra, aşağıdaki komutu gerçekleştirir:
Docker inşa -t nodejsscan
- Sonra, uygulamayı çalıştırmak için bu komutu girer:
Docker Run -In-P 9090: 9090 NODEJSSCAN
Pratik bir örnekte tüm sürecin gösterilmesi- Kullanıcı bu aracı eksik ve savunmasız kod içeren bir depoda test etti.
- NODEJSSCAN uygulaması, içine yüklenmiş .zip format dosyalarıyla uyumludur. Öyleyse, önce .js kodunuzu .js kodunuzu .zip arşivine sıkıştırmanız gerekir ve ardından tarayıcıyı açın ve sıkıştırılmış bir dosya indirin.
- Zip dosyasını indirdikten sonra, araç kullanıcıyı tüm güvenlik açıklarının bir listesini gösterir.
Tercüme edilmiş makalenin yazarı: Sudhansu Shekhar.
Cisoclub.ru üzerinde daha ilginç malzeme. Bize abone olun: Facebook | Vk | Twitter | Instagram | Telgraf | Zen | Messenger | ICQ Yeni | Youtube | Nabız.