Как да използвате проста помощна програма за намиране на уязвимости в програмния код

Graudit поддържа множество езици за програмиране и ви позволява да интегрирате тестване на сигурността на кодовата база директно в процеса на разработка.

Източник: Unsplash (Маркус Списке)

Тестването е важна част от жизнения цикъл на разработката на софтуер. Има много видове тестове, всеки от тях решава свой собствен проблем. Днес искам да говоря за намирането на проблеми със сигурността в кода.

Очевидно в съвременните реалности на разработката на софтуер е важно да се гарантира сигурността на процеса. По едно време дори беше въведен специалният термин DevSecOps. Този термин се отнася до поредица от процедури, насочени към идентифициране и елиминиране на уязвимости в приложение. Има специализирани решения с отворен код за проверка на уязвимости в съответствие със стандартите OWASP, които описват различните видове и поведение на уязвимости в изходния код.

Има различни подходи за решаване на проблеми със сигурността, като статично тестване на сигурността на приложенията (SAST), динамично тестване на сигурността на приложенията (DAST), интерактивно тестване на сигурността на приложенията (IAST), анализ на състава на софтуера и т.н.

Статичното тестване на сигурността на приложението идентифицира грешки във вече написан код. Този подход не изисква приложението да работи, поради което се нарича статичен анализ.

Ще се съсредоточа върху статичен анализ на код и ще използвам прост инструмент с отворен код, за да демонстрирам всичко на практика.

Защо избрах инструмент с отворен код за анализ на сигурността на статичен код

Има няколко причини за това: първо, безплатно е, защото използвате инструмент, разработен от общност от съмишленици, които искат да помогнат на други разработчици. Ако имате малък екип или стартиране, имате чудесна възможност да спестите пари, като използвате софтуер с отворен код, за да тествате сигурността на вашата кодова база. Второ, елиминира необходимостта от наемане на отделен екип DevSecOps, което допълнително намалява разходите ви.

Добрите инструменти с отворен код винаги се създават, като се вземат предвид повишените изисквания за гъвкавост. Поради това те могат да се използват в почти всяка среда, покривайки широк спектър от задачи. За разработчиците е много по-лесно да свържат такива инструменти със системата, която вече са изградили, докато работят по своите проекти.

Но може да има моменти, когато имате нужда от функция, която не е налична в избрания от вас инструмент. В този случай имате възможност да разклоните неговия код и да разработите свой собствен инструмент, базиран на него, с функционалността, от която се нуждаете.

Тъй като в повечето случаи разработването на софтуер с отворен код е активно повлияно от общността, решението за извършване на промени се взема доста бързо и точно: разработчиците на проекта с отворен код разчитат на обратна връзка и предложения от потребителите, на техните доклади за открити грешки и други проблеми.

Използване на Graudit за анализ на сигурността на кода

Можете да използвате различни инструменти с отворен код за анализ на статичен код; няма универсален инструмент за всички езици за програмиране. Разработчиците на някои от тях следват препоръките на OWASP и се опитват да покрият възможно най-много езици.

Тук ще използваме Граудит, проста помощна програма за команден ред, която ще ни позволи да открием уязвимости в нашата кодова база. Поддържа различни езици, но все пак техният набор е ограничен. Graudit е разработен въз основа на помощната програма grep, която някога е била пусната под лиценз GNU.

Има подобни инструменти за анализ на статичен код - Rough Auditing Tool for Security (RATS), Securitycompass Web Application Analysis Tool (SWAAT), flawfinder и т.н. Но Graudit е много гъвкав и има минимални технически изисквания. Възможно е обаче да имате проблеми, които Graudit не може да реши. След това можете да потърсите други опции тук в този списък.

Можем да интегрираме този инструмент в конкретен проект или да го направим достъпен за избран потребител, или да го използваме едновременно във всички наши проекти. Тук също се проявява гъвкавостта на Graudit. Така че нека първо клонираме репото:

$ git clone https://github.com/wireghoul/graudit

Сега нека създадем символична връзка за Graudit, за да я използва в команден формат

$ cd ~/bin && mkdir graudit
$ ln --symbolic ~/graudit/graudit ~/bin/graudit

Нека добавим псевдоним към .bashrc (или какъвто и да е конфигурационен файл, който използвате):

#------ .bashrc ------
alias graudit="~/bin/graudit"

Рестартиране:

$ source ~/.bashrc # OR
$ exex $SHELL

Нека проверим дали инсталацията е успешна:

$ graudit -h

Ако видите нещо подобно, значи всичко е наред.

Ще тествам един от съществуващите си проекти. Преди да стартирате инструмента, той трябва да получи база данни, съответстваща на езика, на който е написан моят проект. Базите данни се намират в папката ~/gradit/signatures:

$ graudit -d ~/gradit/signatures/js.db

И така, тествах два js файла от моя проект и Graudit показа информация за уязвимостите в моя код на конзолата:

Можете да опитате да тествате вашите проекти по същия начин. Можете да видите списък с бази данни за различни езици за програмиране тук.

Предимства и недостатъци на Graudit

Graudit поддържа много езици за програмиране. Поради това е подходящ за широк кръг потребители. Той може адекватно да се конкурира с всякакви безплатни или платени аналози. И е много важно, че все още се правят подобрения на проекта и общността не само помага на разработчиците, но и на други потребители, които се опитват да разберат инструмента.

Това е удобен инструмент, но засега не винаги може да определи точно какъв е проблемът с подозрителен код. Разработчиците продължават да подобряват Graudit.

Но във всеки случай е полезно да обърнете внимание на потенциалните проблеми със сигурността в кода, когато използвате инструменти като този.

Започнете…

В тази статия разгледах само един от многото начини за намиране на уязвимости – статично тестване на сигурността на приложението. Провеждането на анализ на статичен код е лесно, но това е само началото. За да научите повече за сигурността на вашата кодова база, трябва да интегрирате други видове тестване в жизнения цикъл на разработка на софтуер.

Относно правата на рекламата

Надежден VPS и правилният избор на тарифен план ще ви позволи да бъдете по-малко разсеяни от развитието от неприятни проблеми - всичко ще работи без повреди и с много голямо време за работа!

Източник: www.habr.com