Ki jan yo sèvi ak yon sèvis piblik senp pou jwenn vilnerabilite nan kòd pwogram lan

Graudit sipòte plizyè lang pwogramasyon epi li pèmèt ou entegre tès sekirite codebase dirèkteman nan pwosesis devlopman an.

Sous: Unsplash (Markus Spiske)

Tès se yon pati enpòtan nan sik lavi devlopman lojisyèl. Gen anpil kalite tès, chak nan yo rezoud pwoblèm pwòp li yo. Jodi a mwen vle pale sou jwenn pwoblèm sekirite nan kòd.

Li evidan, nan reyalite modèn yo nan devlopman lojisyèl, li enpòtan asire sekirite pwosesis. Nan yon sèl fwa, tèm espesyal DevSecOps la te menm prezante. Tèm sa a refere a yon seri pwosedi ki vize pou idantifye ak elimine frajilite nan yon aplikasyon. Gen solisyon espesyalize sous louvri pou tcheke frajilite yo an akò ak estanda OWASP, ki dekri diferan kalite ak konpòtman frajilite nan kòd sous.

Gen diferan apwòch pou rezoud pwoblèm sekirite, tankou Tès Sekirite Aplikasyon Estatik (SAST), Tès Sekirite Aplikasyon Dinamik (DAST), Tès Sekirite Aplikasyon Interactive (IAST), Analiz Konpozisyon Lojisyèl, ak sou sa.

Tès sekirite aplikasyon estatik idantifye erè nan kòd ki deja ekri. Apwòch sa a pa mande pou aplikasyon an kouri, se poutèt sa yo rele li analiz estatik.

Mwen pral konsantre sou analiz kòd estatik epi sèvi ak yon senp zouti sous louvri pou demontre tout bagay an pratik.

Poukisa mwen te chwazi yon zouti sous louvri pou analiz sekirite kòd estatik

Gen yon kantite rezon pou sa: premye, li gratis paske w ap itilize yon zouti devlope pa yon kominote moun ki gen menm lide ki vle ede lòt devlopè. Si ou gen yon ti ekip oswa yon demaraj, ou gen yon gwo opòtinite pou ekonomize lajan lè w itilize lojisyèl sous louvri pou teste sekirite kodbaz ou a. Dezyèmman, li elimine nesesite pou ou anboche yon ekip DevSecOps separe, sa ki diminye plis depans ou yo.

Bon zouti sous louvri yo toujou kreye pran an kont ogmante kondisyon pou fleksibilite. Se poutèt sa, yo ka itilize nan prèske nenpòt anviwònman, ki kouvri yon pakèt travay. Li pi fasil pou devlopè yo konekte zouti sa yo ak sistèm yo te deja bati a pandan y ap travay sou pwojè yo.

Men, ka gen kèk fwa lè ou bezwen yon karakteristik ki pa disponib nan zouti ou chwazi a. Nan ka sa a, ou gen opòtinite pou fouchèt kòd li yo epi devlope pwòp zouti ou ki baze sou li ak fonksyonalite ou bezwen an.

Piske nan pifò ka yo devlopman nan lojisyèl sous louvri se aktivman enfliyanse pa kominote a, desizyon an fè chanjman yo pran byen vit ak nan pwen an: devlopè yo nan pwojè a sous louvri konte sou fidbak ak sijesyon nan men itilizatè yo, sou rapò yo sou. erè yo jwenn ak lòt pwoblèm.

Sèvi ak Graudit pou Analiz Sekirite Kòd

Ou ka itilize divès zouti sous louvri pou analiz kòd estatik; pa gen okenn zouti inivèsèl pou tout langaj pwogramasyon. Devlopè yo nan kèk nan yo swiv rekòmandasyon OWASP epi eseye kouvri anpil lang ke posib.

Isit la nou pral sèvi ak Graudit, yon senp sèvis piblik liy kòmand ki pral pèmèt nou jwenn vilnerabilite nan baz kòd nou an. Li sipòte diferan lang, men yo toujou limite. Graudit devlope baze sou sèvis piblik grep, ki te pibliye yon fwa anba lisans GNU.

Gen zouti ki sanble pou analiz kòd estatik - Rough Auditing Tool for Security (RATS), Securitycompass Web Application Analysis Tool (SWAAT), flawfinder ak sou sa. Men, Graudit trè fleksib e li gen kondisyon teknik minim. Sepandan, ou ka gen pwoblèm ke Graudit pa ka rezoud. Lè sa a, ou ka gade pou lòt opsyon isit la sou lis sa a.

Nou ka entegre zouti sa a nan yon pwojè espesifik, oswa fè li disponib nan yon itilizatè chwazi, oswa itilize li ansanm nan tout pwojè nou yo. Sa a se tou kote fleksibilite Graudit a antre nan jwèt. Se konsa, ann klonaj repo a an premye:

$ git clone https://github.com/wireghoul/graudit

Koulye a, ann kreye yon lyen senbolik pou Graudit sèvi ak li nan fòma kòmand

$ cd ~/bin && mkdir graudit
$ ln --symbolic ~/graudit/graudit ~/bin/graudit

Ann ajoute yon alyas nan .bashrc (oswa kèlkeswa fichye konfigirasyon w ap itilize):

#------ .bashrc ------
alias graudit="~/bin/graudit"

Rdemare:

$ source ~/.bashrc # OR
$ exex $SHELL

Ann tcheke si enstalasyon an te reyisi:

$ graudit -h

Si ou wè yon bagay ki sanble, Lè sa a, tout bagay anfòm.

Mwen pral teste youn nan pwojè mwen yo ki deja egziste. Anvan ou kouri zouti a, li bezwen pase yon baz done ki koresponn ak lang nan ki pwojè mwen an ekri. Baz done yo sitiye nan katab ~/gradit/signatures:

$ graudit -d ~/gradit/signatures/js.db

Se konsa, mwen teste de fichye js ki soti nan pwojè mwen an, ak Graudit montre enfòmasyon sou frajilite nan kòd mwen an nan konsole a:

Ou ka eseye teste pwojè ou yo menm jan an. Ou ka wè yon lis baz done pou diferan lang pwogramasyon isit la.

Avantaj ak dezavantaj Graudit

Graudit sipòte anpil lang pwogramasyon. Se poutèt sa, li apwopriye pou yon pakèt itilizatè. Li ka byen konkirans ak nenpòt analogu gratis oswa peye. Epi li trè enpòtan ke amelyorasyon yo toujou ap fè nan pwojè a, ak kominote a non sèlman ede devlopè yo, men tou, lòt itilizatè ki ap eseye konnen zouti a.

Sa a se yon zouti sou la men, men jiskaprezan li pa ka toujou idantifye egzakteman ki pwoblèm nan ak yon moso kòd sispèk. Devlopè yo kontinye amelyore Graudit.

Men, nan nenpòt ka, li itil yo peye atansyon sou pwoblèm sekirite potansyèl nan kòd la lè w ap itilize zouti tankou sa a.

Kòmanse ...

Nan atik sa a, mwen te gade jis youn nan plizyè fason pou jwenn frajilite - tès sekirite aplikasyon estatik. Fè analiz kòd estatik fasil, men se jis kòmansman an. Pou aprann plis sou sekirite kodbaz ou a, ou bezwen entegre lòt kalite tès nan sik devlopman lojisyèl ou a.

Sou Dwa yo nan Piblisite

VPS serye ak chwa ki kòrèk la nan plan tarif yo pral pèmèt ou yo dwe mwens distrè nan devlopman pa pwoblèm dezagreyab - tout bagay ap travay san echèk ak ak yon trè wo disponiblite!

Sous: www.habr.com