Bidh Graudit a’ toirt taic do dh’iomadh cànan prògramaidh agus a’ leigeil leat deuchainnean tèarainteachd codebase fhilleadh a-steach gu dìreach sa phròiseas leasachaidh.
Source: (Marcus Spiske)
Tha deuchainn na phàirt chudromach de chuairt-beatha leasachadh bathar-bog. Tha iomadh seòrsa deuchainn ann, gach fear dhiubh a 'fuasgladh a dhuilgheadas fhèin. An-diugh tha mi airson bruidhinn mu bhith a 'lorg duilgheadasan tèarainteachd ann an còd.
Gu follaiseach, anns na fìrinnean ùr-nodha de leasachadh bathar-bog, tha e cudromach dèanamh cinnteach à tèarainteachd pròiseas. Aig aon àm, chaidh an teirm sònraichte DevSecOps a thoirt a-steach eadhon. Tha an teirm seo a’ toirt iomradh air sreath de mhodhan-obrach a tha ag amas air so-leòntachd ann an tagradh a chomharrachadh agus a chuir às. Tha fuasglaidhean stòr fosgailte sònraichte ann airson sgrùdadh a dhèanamh air so-leòntachd a rèir inbhean , a tha a’ toirt cunntas air na diofar sheòrsaichean agus giùlan so-leòntachd ann an còd stòr.
Tha dòighean eadar-dhealaichte ann airson fuasgladh fhaighinn air duilgheadasan tèarainteachd, leithid Deuchainn Tèarainteachd Iarrtas Statach (SAST), Deuchainn Tèarainteachd Iarrtas Dynamic (DAST), Deuchainn Tèarainteachd Iarrtais Eadar-ghnìomhach (IAST), Mion-sgrùdadh Cruth Bathar-bog, agus mar sin air adhart.
Bidh deuchainn tèarainteachd tagradh statach a’ comharrachadh mhearachdan ann an còd a chaidh a sgrìobhadh mu thràth. Chan fheum an dòigh-obrach seo an tagradh a ruith, agus is e sin as coireach gur e mion-sgrùdadh statach a chanar ris.
Cuiridh mi fòcas air mion-sgrùdadh còd statach agus cleachdaidh mi inneal stòr fosgailte sìmplidh gus a h-uile dad a thaisbeanadh ann an cleachdadh.
Carson a thagh mi inneal stòr fosgailte airson mion-sgrùdadh tèarainteachd còd statach
Tha grunn adhbharan ann airson seo: an toiseach, tha e an-asgaidh oir tha thu a’ cleachdadh inneal a chaidh a leasachadh le coimhearsnachd de dhaoine den aon seòrsa inntinn a tha airson luchd-leasachaidh eile a chuideachadh. Ma tha sgioba beag no companaidh tòiseachaidh agad, tha deagh chothrom agad airgead a shàbhaladh le bhith a’ cleachdadh bathar-bog stòr fosgailte gus tèarainteachd do chòd-stèidh a dhearbhadh. San dàrna h-àite, tha e a’ cur às don fheum air sgioba DevSecOps air leth fhastadh, a’ lughdachadh do chosgaisean tuilleadh.
Bidh innealan stòr fosgailte math an-còmhnaidh air an cruthachadh a’ toirt aire do riatanasan nas motha airson sùbailteachd. Mar sin, faodar an cleachdadh ann an cha mhòr àrainneachd sam bith, a 'còmhdach raon farsaing de ghnìomhan. Tha e mòran nas fhasa do luchd-leasachaidh innealan mar sin a cheangal ris an t-siostam a tha iad air a thogail mar-thà fhad ‘s a tha iad ag obair air na pròiseactan aca.
Ach is dòcha gum bi amannan ann nuair a bhios feum agad air feart nach eil ri fhaighinn san inneal a thaghas tu. Anns a ’chùis seo, tha cothrom agad a chòd a chuir air bhog agus an inneal agad fhèin a leasachadh stèidhichte air leis a’ ghnìomhachd a dh ’fheumas tu.
Leis gu bheil a’ choimhearsnachd sa mhòr-chuid de chùisean a’ toirt buaidh ghnìomhach air leasachadh bathar-bog stòr fosgailte, tha an co-dhùnadh atharrachaidhean a dhèanamh air a dhèanamh gu math luath agus chun na h-ìre: tha luchd-leasachaidh a’ phròiseict stòr fosgailte an urra ri fios air ais agus molaidhean bho luchd-cleachdaidh, air na h-aithisgean aca de mearachdan a chaidh a lorg agus duilgheadasan eile.
A’ cleachdadh Graudit airson Mion-sgrùdadh Tèarainteachd Còd
Faodaidh tu diofar innealan stòr fosgailte a chleachdadh airson mion-sgrùdadh còd statach; chan eil inneal uile-choitcheann ann airson a h-uile cànan prògramaidh. Bidh luchd-leasachaidh cuid dhiubh a’ leantainn molaidhean OWASP agus a’ feuchainn ri nas urrainn dhaibh de chànanan a chòmhdach.
An seo cleachdaidh sinn , goireas loidhne-àithne sìmplidh a leigeas leinn so-leòntachd a lorg nar codebase. Bidh e a’ toirt taic do dhiofar chànanan, ach fhathast tha an seata aca cuibhrichte. Tha Graudit air a leasachadh stèidhichte air goireas grep utility, a chaidh a leigeil ma sgaoil aon uair fo chead GNU.
Tha innealan coltach ris ann airson mion-sgrùdadh còd statach - Inneal Sgrùdaidh Rough airson Tèarainteachd (RATS), Inneal Mion-sgrùdadh Iarrtas Lìn Securitycompass (SWAAT), flawfinder agus mar sin air adhart. Ach tha Graudit gu math sùbailte agus chan eil ach glè bheag de riatanasan teicnigeach aige. Ach, dh’ fhaodadh gum bi duilgheadasan agad nach urrainn Graudit fhuasgladh. An uairsin faodaidh tu coimhead airson roghainnean eile an seo .
Is urrainn dhuinn an inneal seo fhilleadh a-steach do phròiseact sònraichte, no a thoirt seachad do neach-cleachdaidh taghte, no a chleachdadh aig an aon àm anns a h-uile pròiseact againn. Seo cuideachd far a bheil sùbailteachd Graudit a’ tighinn a-steach. Mar sin dèanamaid clonadh an repo an toiseach:
$ git clone https://github.com/wireghoul/grauditA-nis cruthaichidh sinn ceangal samhlachail airson Graudit airson a chleachdadh ann an cruth àithne
$ cd ~/bin && mkdir graudit
$ ln --symbolic ~/graudit/graudit ~/bin/grauditNach cuir sinn alias ri .bashrc (no ge bith dè am faidhle rèiteachaidh a tha thu a’ cleachdadh):
#------ .bashrc ------
alias graudit="~/bin/graudit"Ath-thòiseachadh:
$ source ~/.bashrc # OR
$ exex $SHELL
Feuch an dèan sinn cinnteach an robh an stàladh soirbheachail:
$ graudit -hMa chì thu rudeigin coltach ris, tha a h-uile dad gu math.
Bidh mi a’ dèanamh deuchainn air aon de na pròiseactan a th’ agam mu thràth. Mus ruith an t-inneal, feumar a dhol seachad air stòr-dàta a fhreagras ris a’ chànan anns a bheil am pròiseact agam sgrìobhte. Tha na stòran-dàta suidhichte sa phasgan ~/gradit/signatures:
$ graudit -d ~/gradit/signatures/js.dbMar sin, rinn mi deuchainn air dà fhaidhle js bhon phròiseact agam, agus sheall Graudit fiosrachadh mu chugallachd anns a’ chòd agam don chonsail:
Faodaidh tu feuchainn air na pròiseactan agad a dhearbhadh san aon dòigh. Chì thu liosta de stòran-dàta airson diofar chànanan prògramaidh .
Buannachdan agus Eas-bhuannachdan Graudit
Bidh Graudit a’ toirt taic do dh’ iomadh cànan prògramaidh. Mar sin, tha e freagarrach airson raon farsaing de luchd-cleachdaidh. Faodaidh e farpais gu leòr le analogues an-asgaidh no pàighte. Agus tha e glè chudromach gu bheil leasachaidhean fhathast gan dèanamh air a 'phròiseact, agus tha a' choimhearsnachd chan ann a-mhàin a 'cuideachadh an luchd-leasachaidh, ach cuideachd luchd-cleachdaidh eile a tha a' feuchainn ris an inneal obrachadh a-mach.
Is e inneal feumail a tha seo, ach gu ruige seo chan urrainn dha an-còmhnaidh comharrachadh gu dìreach dè an duilgheadas a th’ ann le pìos còd amharasach. Tha an luchd-leasachaidh a’ leantainn air adhart a’ leasachadh Graudit.
Ach ann an suidheachadh sam bith, tha e feumail aire a thoirt do dhuilgheadasan tèarainteachd a dh’ fhaodadh a bhith anns a ’chòd nuair a bhios tu a’ cleachdadh innealan mar seo.
A ’tòiseachadh…
San artaigil seo, thug mi sùil air dìreach aon de iomadh dòigh air so-leòntachd a lorg - deuchainn tèarainteachd tagraidh statach. Tha e furasta mion-sgrùdadh còd statach a dhèanamh, ach chan eil ann ach toiseach. Gus barrachd ionnsachadh mu thèarainteachd a’ chòd-chòd agad, feumaidh tu seòrsachan eile de dheuchainnean fhilleadh a-steach don chuairt-beatha leasachadh bathar-bog agad.
Air na Còraichean Sanasachd
agus leigidh an taghadh ceart de phlana taraifean dhut a bhith air do tharraing nas lugha bho leasachadh le duilgheadasan mì-thlachdmhor - obraichidh a h-uile dad às aonais fàilligidhean agus le ùrachadh gu math àrd!
Source: www.habr.com