Graudit txhawb ntau hom lus programming thiab tso cai rau koj los sib sau ua ke codebase kev soj ntsuam kev ruaj ntseg ncaj qha rau hauv txoj kev txhim kho.
Tau qhov twg los: (Markus Spiske)
Kev ntsuam xyuas yog ib feem tseem ceeb ntawm software txhim kho lub neej voj voog. Muaj ntau ntau hom kev sim, txhua tus ntawm lawv daws nws tus kheej qhov teeb meem. Hnub no kuv xav tham txog kev nrhiav teeb meem kev ruaj ntseg hauv code.
Pom tseeb, hauv qhov tseeb niaj hnub ntawm kev tsim kho software, nws yog ib qho tseem ceeb los xyuas kom meej cov txheej txheem kev ruaj ntseg. Nyob rau hauv ib lub sij hawm, lub sij hawm tshwj xeeb DevSecOps twb txawm qhia. Lo lus no yog hais txog ntau cov txheej txheem txhawm rau txheeb xyuas thiab tshem tawm qhov tsis zoo hauv daim ntawv thov. Muaj kev tshwj xeeb qhib qhov kev daws teeb meem rau kev tshuaj xyuas qhov tsis zoo raws li cov qauv , uas piav txog ntau hom thiab kev coj cwj pwm ntawm qhov tsis zoo hauv qhov chaws.
Muaj ntau txoj hauv kev los daws cov teeb meem kev nyab xeeb, xws li Static Application Security Test (SAST), Dynamic Application Security Testing (DAST), Interactive Application Security Testing (IAST), Software Composition Analysis, thiab lwm yam.
Cov ntawv thov kev ruaj ntseg zoo li qub kev ntsuas ntsuas qhov yuam kev hauv cov lej uas twb tau sau lawm. Txoj kev no tsis tas yuav tsum muaj daim ntawv thov khiav, uas yog vim li cas nws thiaj li hu ua static analysis.
Kuv mam li tsom mus rau kev txheeb xyuas cov lej zoo li qub thiab siv cov cuab yeej qhib yooj yim los ua kom pom txhua yam hauv kev xyaum.
Vim li cas kuv thiaj xaiv qhov qhib qhov cuab yeej rau kev soj ntsuam kev ruaj ntseg zoo li qub
Muaj ntau qhov laj thawj rau qhov no: ua ntej, nws yog dawb vim tias koj siv lub cuab yeej tsim los ntawm cov zej zog ntawm cov neeg muaj siab nyiam uas xav pab lwm tus tsim tawm. Yog tias koj muaj ib pab pawg me lossis pib ua haujlwm, koj muaj lub sijhawm zoo los txuag nyiaj los ntawm kev siv cov software qhib los ntsuas kev ruaj ntseg ntawm koj cov codebase. Qhov thib ob, nws tshem tawm qhov xav tau rau koj ntiav pab pawg DevSecOps cais, ntxiv txo koj cov nqi.
Cov cuab yeej qhib zoo yeej ib txwm tsim los ntawm kev xav tau ntxiv rau kev hloov pauv. Yog li ntawd, lawv tuaj yeem siv yuav luag txhua qhov chaw, npog ntau yam haujlwm. Nws yog qhov yooj yim dua rau cov neeg tsim khoom los txuas cov cuab yeej zoo li no nrog cov kab ke uas lawv tau ua tiav thaum ua haujlwm ntawm lawv cov haujlwm.
Tab sis tej zaum yuav muaj sij hawm thaum koj xav tau ib tug feature uas tsis muaj nyob rau hauv lub cuab tam koj xaiv. Nyob rau hauv cov ntaub ntawv no, koj muaj lub sij hawm rau fork nws code thiab tsim koj tus kheej lub cuab tam raws li nws nrog functionality koj xav tau.
Txij li thaum feem ntau txoj kev txhim kho ntawm cov software qhib tau muaj kev cuam tshuam los ntawm cov zej zog, kev txiav txim siab hloov pauv tau sai heev thiab mus rau lub ntsiab lus: cov neeg tsim khoom ntawm qhov qhib qhov project cia siab rau cov lus tawm tswv yim thiab cov tswv yim los ntawm cov neeg siv, ntawm lawv cov lus ceeb toom ntawm yuam kev pom thiab lwm yam teeb meem.
Siv Graudit rau Code Security Analysis
Koj tuaj yeem siv ntau yam cuab yeej qhib rau kev txheeb xyuas cov lej zoo li qub; tsis muaj cov cuab yeej siv dav dav rau txhua hom lus programming. Cov neeg tsim tawm ntawm lawv ib txhia ua raws li OWASP cov lus pom zoo thiab sim kom npog ntau hom lus li sai tau.
Ntawm no peb yuav siv , ib qho yooj yim hais kom ua kab hluav taws xob uas yuav tso cai rau peb nrhiav qhov tsis zoo hauv peb cov codebase. Nws txhawb ntau hom lus, tab sis tseem lawv cov txheej txheem txwv. Graudit yog tsim los ntawm grep utility utility, uas yog ib zaug tso tawm raws li GNU daim ntawv tso cai.
Muaj cov cuab yeej zoo sib xws rau kev txheeb xyuas cov lej zoo li qub - Rough Auditing Tool for Security (RATS), Securitycompass Web Application Analysis Tool (SWAAT), flawfinder thiab lwm yam. Tab sis Graudit yog qhov hloov pauv tau yooj yim thiab muaj cov kev xav tau tsawg kawg nkaus. Txawm li cas los xij, tej zaum koj yuav muaj teeb meem uas Graudit daws tsis tau. Tom qab ntawd koj tuaj yeem nrhiav lwm yam kev xaiv ntawm no .
Peb tuaj yeem muab cov cuab yeej no tso rau hauv ib qhov project tshwj xeeb, lossis ua kom muaj rau cov neeg siv xaiv, lossis siv nws ib txhij hauv txhua qhov haujlwm peb. Qhov no kuj yog qhov twg Graudit qhov yooj yim los ua si. Yog li cia peb clone lub repo ua ntej:
$ git clone https://github.com/wireghoul/grauditTam sim no cia peb tsim cov cim txuas rau Graudit siv nws hauv hom lus txib
$ cd ~/bin && mkdir graudit
$ ln --symbolic ~/graudit/graudit ~/bin/grauditCia peb ntxiv ib lub npe rau .bashrc (los yog cov ntaub ntawv teeb tsa uas koj siv):
#------ .bashrc ------
alias graudit="~/bin/graudit"Reboot:
$ source ~/.bashrc # OR
$ exex $SHELL
Cia peb xyuas seb lub installation puas ua tiav:
$ graudit -hYog tias koj pom ib yam dab tsi zoo sib xws, ces txhua yam zoo.
Kuv yuav sim ib qho ntawm kuv cov haujlwm uas twb muaj lawm. Ua ntej khiav lub cuab yeej, nws yuav tsum tau dhau los ntawm cov ntaub ntawv sib txuas rau cov lus uas kuv qhov project tau sau. Cov databases nyob rau hauv lub ~ / gradit / kos npe nplaub tshev:
$ graudit -d ~/gradit/signatures/js.dbYog li, kuv tau sim ob js cov ntaub ntawv los ntawm kuv qhov project, thiab Graudit tso tawm cov ntaub ntawv hais txog qhov tsis zoo hauv kuv cov cai rau lub console:
Koj tuaj yeem sim sim koj cov haujlwm hauv tib txoj kev. Koj tuaj yeem pom cov npe ntawm cov databases rau ntau hom lus programming .
Qhov zoo thiab qhov tsis zoo ntawm Graudit
Graudit txhawb ntau hom lus programming. Yog li ntawd, nws yog haum rau ntau yam ntawm cov neeg siv. Nws muaj peev xwm txaus sib tw nrog txhua yam dawb lossis them nyiaj analogues. Thiab nws yog ib qho tseem ceeb heev uas cov kev txhim kho tseem tab tom ua rau qhov project, thiab cov zej zog tsis yog tsuas yog pab cov neeg tsim khoom, tab sis kuj tseem muaj lwm cov neeg siv uas tab tom sim nrhiav cov cuab yeej.
Qhov no yog ib qho cuab yeej siv tau, tab sis txog tam sim no nws tsis tuaj yeem paub meej tias qhov teeb meem yog dab tsi nrog ib qho tsis txaus ntseeg ntawm cov cai. Cov neeg tsim khoom txuas ntxiv txhim kho Graudit.
Tab sis nyob rau hauv txhua rooj plaub, nws yog ib qho tsim nyog yuav tau xyuam xim rau cov teeb meem kev ruaj ntseg hauv cov cai thaum siv cov cuab yeej zoo li no.
Pibβ¦
Hauv tsab xov xwm no, kuv saib tsuas yog ib qho ntawm ntau txoj hauv kev los nrhiav qhov tsis zoo - static application security testing . Kev soj ntsuam cov lej zoo li qub yog qhov yooj yim, tab sis nws tsuas yog qhov pib. Txhawm rau kawm paub ntau ntxiv txog kev ruaj ntseg ntawm koj cov codebase, koj yuav tsum sib koom ua ke lwm hom kev sim rau hauv koj lub neej kev txhim kho software.
Rau Txoj Cai Kev Tshaj Tawm
thiab qhov kev xaiv kom raug ntawm cov phiaj xwm tariff yuav tso cai rau koj kom tsis txhob cuam tshuam los ntawm kev txhim kho los ntawm cov teeb meem tsis zoo - txhua yam yuav ua haujlwm yam tsis muaj qhov ua tsis tiav thiab nrog lub sijhawm ua haujlwm siab heev!
Tau qhov twg los: www.hab.com