Conas fóntais shimplí a úsáid chun leochaileachtaí a aimsiú i gcód cláir

Tacaíonn Graudit le teangacha ríomhchlárúcháin iolracha agus ligeann sé duit tástáil slándála codebase a chomhtháthú go díreach isteach sa phróiseas forbartha.

Conas fóntais shimplí a úsáid chun leochaileachtaí a aimsiú i gcód cláir
Foinse: Unsplash (Markus Spiske)

Is cuid thábhachtach de shaolré forbartha bogearraí í an tástáil. Tá go leor cineálacha tástála ann, réitíonn gach ceann acu a fhadhb féin. Sa lá atá inniu ba mhaith liom labhairt faoi fhadhbanna slándála a aimsiú i gcód.

Ar ndóigh, i réaltachtaí nua-aimseartha na forbartha bogearraí, tá sé tábhachtach slándáil próisis a chinntiú. Ag am amháin, tugadh isteach an téarma speisialta DevSecOps fiú. Tagraíonn an téarma seo do shraith nósanna imeachta atá dírithe ar leochaileachtaí in iarratas a aithint agus a dhíchur. Tá réitigh foinse oscailte speisialaithe ann chun leochaileachtaí a sheiceáil de réir na gcaighdeán OWASP, a chuireann síos ar na cineálacha éagsúla agus ar iompar na leochaileachtaí sa chód foinse.

Tá cineálacha éagsúla cur chuige ann maidir le fadhbanna slándála a réiteach, mar shampla Tástáil Slándála Iarratas Statach (SAST), Tástáil Slándála Feidhmchláir Dinimiciúla (DAST), Tástáil Slándála Feidhmchláir Idirghníomhach (IAST), Anailís ar Chomhdhéanamh Bogearraí, agus mar sin de.

Aithníonn tástáil slándála feidhmchláir statach earráidí sa chód scríofa cheana féin. Ní éilíonn an cur chuige seo go rithfeadh an t-iarratas, agus is é sin an fáth a dtugtar anailís statach air.

Díreoidh mé ar anailís chóid statach agus úsáidfidh mé uirlis foinse oscailte shimplí chun gach rud a léiriú go praiticiúil.

Cén fáth ar roghnaigh mé uirlis foinse oscailte le haghaidh anailíse ar shlándáil cód statach

Tá roinnt cúiseanna leis seo: ar an gcéad dul síos, tá sé saor in aisce mar go bhfuil tú ag baint úsáide as uirlis a d'fhorbair pobal de dhaoine ar aon intinn leo ar mian leo cabhrú le forbróirí eile. Má tá foireann bheag nó tosaithe agat, tá deis iontach agat airgead a shábháil trí úsáid a bhaint as bogearraí foinse oscailte chun slándáil do bhunachar cód a thástáil. Ar an dara dul síos, cuireann sé deireadh leis an ngá atá agat foireann DevSecOps ar leith a fhostú, rud a laghdóidh do chostais tuilleadh.

Cruthaítear uirlisí foinse oscailte maithe i gcónaí agus ceanglais mhéadaithe solúbthachta á gcur san áireamh. Mar sin, is féidir iad a úsáid i mbeagnach aon timpeallacht, a chlúdaíonn raon leathan tascanna. Tá sé i bhfad níos éasca d'fhorbróirí uirlisí den sórt sin a nascadh leis an gcóras atá tógtha acu cheana féin agus iad ag obair ar a gcuid tionscadal.

Ach d’fhéadfadh go mbeadh amanna ann nuair a bheidh gné de dhíth ort nach bhfuil ar fáil san uirlis a roghnaíonn tú. Sa chás seo, tá an deis agat a chód a fhorc agus do uirlis féin a fhorbairt bunaithe air leis an fheidhmiúlacht atá uait.

Ós rud é go mbíonn tionchar gníomhach ag an bpobal ar fhorbairt bogearraí foinse oscailte i bhformhór na gcásanna, déantar an cinneadh athruithe a dhéanamh go tapa agus go pointe: braitheann forbróirí an tionscadail foinse oscailte ar aiseolas agus moltaí ó úsáideoirí, ar a dtuarascálacha de earráidí a aimsíodh agus fadhbanna eile.

Ag baint úsáide as Graudit le haghaidh Anailís Slándála Cóid

Is féidir leat uirlisí foinse oscailte éagsúla a úsáid le haghaidh anailíse cód statach; níl aon uirlis uilíoch do gach teanga ríomhchlárúcháin. Leanann forbróirí cuid acu moltaí OWASP agus déanann siad iarracht an oiread teangacha agus is féidir a chlúdach.

Anseo úsáidfimid Grádán, áirgiúlacht líne ordaithe simplí a ligfidh dúinn leochaileachtaí a aimsiú inár mbunchód. Tacaíonn sé le teangacha éagsúla, ach fós tá a gcuid tacar teoranta. Forbraítear Graudit bunaithe ar an bhfóntas fóntais grep, a scaoileadh uair amháin faoin gceadúnas GNU.

Tá uirlisí comhchosúla ann le haghaidh anailíse cód statach - Uirlis Iniúchóireachta Rough le haghaidh Slándála (RATS), Uirlis Anailíse Feidhmchláir Gréasáin Securitycompass (SWAAT), lochta agus mar sin de. Ach tá Graudit an-solúbtha agus tá riachtanais theicniúla íosta aige. D’fhéadfadh fadhbanna a bheith agat, áfach, nach féidir le Graudit a réiteach. Ansin is féidir leat roghanna eile a lorg anseo ar an liosta seo.

Is féidir linn an uirlis seo a chomhtháthú i dtionscadal ar leith, nó í a chur ar fáil d'úsáideoir roghnaithe, nó í a úsáid go comhuaineach inár dtionscadail go léir. Seo freisin an áit a dtagann solúbthacht Graudit i bhfeidhm. Mar sin déanaimis an repo a chlónáil ar dtús:

$ git clone https://github.com/wireghoul/graudit

Anois cruthaimis nasc siombalach do Graudit chun é a úsáid i bhformáid ordaithe

$ cd ~/bin && mkdir graudit
$ ln --symbolic ~/graudit/graudit ~/bin/graudit

Cuirimis ailias le .bashrc (nó cibé comhad cumraíochta atá in úsáid agat):

#------ .bashrc ------
alias graudit="~/bin/graudit"

Atosaigh:

$ source ~/.bashrc # OR
$ exex $SHELL

Déanaimis seiceáil ar éirigh leis an tsuiteáil:

$ graudit -h

Má fheiceann tú rud éigin den chineál céanna, ansin tá gach rud go breá.

Conas fóntais shimplí a úsáid chun leochaileachtaí a aimsiú i gcód cláir

Beidh mé ag tástáil ceann de na tionscadail atá agam cheana féin. Sula rithfear an uirlis, ní mór bunachar sonraí a chur ar aghaidh a fhreagraíonn don teanga ina bhfuil mo thionscadal scríofa. Tá na bunachair shonraí lonnaithe san fhillteán ~/gradit/signatures:

$ graudit -d ~/gradit/signatures/js.db

Mar sin, thástáil mé dhá chomhad js ó mo thionscadal, agus thaispeáin Graudit faisnéis faoi leochaileachtaí i mo chód don chonsól:

Conas fóntais shimplí a úsáid chun leochaileachtaí a aimsiú i gcód cláir

Conas fóntais shimplí a úsáid chun leochaileachtaí a aimsiú i gcód cláir

Is féidir leat triail a bhaint as do thionscadail a thástáil ar an mbealach céanna. Is féidir leat liosta bunachair shonraí do theangacha ríomhchlárúcháin éagsúla a fheiceáil anseo.

Buntáistí agus Míbhuntáistí Graudit

Tacaíonn Graudit le go leor teangacha ríomhchlárúcháin. Dá bhrí sin, tá sé oiriúnach do raon leathan úsáideoirí. Is féidir leis dul san iomaíocht go leordhóthanach le haon analógacha saor in aisce nó íoctha. Agus tá sé an-tábhachtach go bhfuil feabhsuithe fós á ndéanamh ar an tionscadal, agus cuidíonn an pobal ní hamháin leis na forbróirí, ach freisin le húsáideoirí eile atá ag iarraidh an uirlis a dhéanamh amach.

Is uirlis áisiúil í seo, ach go dtí seo ní féidir a shonrú i gcónaí cad é an fhadhb atá ann le píosa cód amhrasach. Leanann na forbróirí ag feabhsú Graudit.

Ach in aon chás, tá sé úsáideach aird a thabhairt ar fhadhbanna slándála féideartha sa chód nuair a úsáidtear uirlisí mar seo.

Ag tosú…

San Airteagal seo, d'fhéach mé ar cheann amháin de go leor bealaí chun leochaileachtaí a aimsiú - static application security test . Tá sé éasca anailís cód statach a dhéanamh, ach níl ann ach an tús. Chun tuilleadh a fhoghlaim faoi shlándáil do bhunachar cód, ní mór duit cineálacha eile tástála a chomhtháthú le do shaolré forbartha bogearraí.

Ar Chearta Fógraíocht

VPS iontaofa agus beidh an rogha ceart plean taraife a ligfidh tú a bheith níos lú distracted ó fhorbairt ag fadhbanna míthaitneamhach - beidh gach rud ag obair gan teipeanna agus le uptime an-ard!

Conas fóntais shimplí a úsáid chun leochaileachtaí a aimsiú i gcód cláir

Foinse: will.com

Ceannaigh óstáil iontaofa do shuímh le cosaint DDoS, freastalaithe VPS VDS 🔥 Ceannaigh óstáil gréasáin iontaofa le cosaint DDoS, freastalaithe VPS VDS | ProHoster