Ka tautokohia e Graudit nga reo hotaka maha ka taea e koe te whakauru tika i nga whakamatautau haumarutanga waehere ki roto i te kaupapa whanaketanga.
Source:
Ko te whakamatautau he waahanga nui o te huringa ora whanaketanga rorohiko. He maha nga momo whakamatautau, ma ia tangata e whakaoti ana ake raru. I tenei ra e hiahia ana ahau ki te korero mo te rapu raruraru haumarutanga i roto i te waehere.
Ma te mohio, i roto i nga ahuatanga hou o te whanaketanga rorohiko, he mea nui ki te whakarite i te haumarutanga o te tukanga. I tetahi wa, i whakauruhia te kupu motuhake DevSecOps. Ko tenei kupu e pa ana ki te raupapa o nga tikanga e whai ana ki te tautuhi me te whakakore i nga whakaraeraetanga i roto i tetahi tono. He otinga puna tuwhera motuhake mo te tirotiro i nga whakaraeraetanga i runga i nga paerewa
He rereke nga huarahi ki te whakaoti rapanga haumarutanga, penei i te Whakamatau Haumarutanga Taupānga Static (SAST), Te Whakamātautau Haumaru Taupānga Hihiko (DAST), Te Whakamātautau Haumaru Tauhokohoko Tauwhitiwhiti (IAST), Te Taatari Hanganga Pūmanawa, me etahi atu.
Ko te whakamatautau haumarutanga tono pateko e tohu ana i nga hapa i roto i te waehere kua tuhia. Ko tenei huarahi kaore e hiahiatia kia rere te tono, na reira i kiia ai he tātaritanga pateko.
Ka aro ahau ki te tātari waehere pateko me te whakamahi i tetahi taputapu puna tuwhera ngawari hei whakaatu i nga mea katoa i roto i nga mahi.
He aha ahau i whiriwhiri ai i tetahi taputapu puna tuwhera mo te tātaritanga haumarutanga waehere pateko
He maha nga take mo tenei: tuatahi, he kore utu na te mea kei te whakamahi koe i tetahi taputapu i hangaia e te hapori o nga tangata rite te whakaaro e hiahia ana ki te awhina i etahi atu kaiwhakawhanake. Mena he roopu iti koe, he tiimata ranei, ka whai waahi nui koe ki te penapena moni ma te whakamahi i nga punaha punaha tuwhera hei whakamatautau i te haumarutanga o to turanga waehere. Tuarua, ka whakakorehia e koe te hiahia ki te utu i tetahi roopu DevSecOps motuhake, ka whakaheke ake i o utu.
Ko nga taputapu puna tuwhera pai ka hangaia i nga wa katoa me te whakaaro ki nga whakaritenga kua piki ake mo te ngawari. Na reira, ka taea te whakamahi i roto i te tata ki nga waahi katoa, e hipoki ana i te tini o nga mahi. He maamaa ake mo nga kaiwhakawhanake ki te hono i enei taputapu ki te punaha kua oti kee i a raatau e mahi ana i a raatau kaupapa.
Engari tera pea etahi wa ka hiahia koe ki tetahi waahanga kaore i te waatea i roto i te taputapu ka tohua e koe. I tenei keehi, ka whai waahi koe ki te tarai i tana waehere me te whakawhanake i taau ake taputapu i runga i taua mea me nga mahi e hiahia ana koe.
I te nuinga o nga wa ko te whakawhanaketanga o te punaha punaha tuwhera kei te kaha awehia e te hapori, ko te whakatau ki te whakarereke i te tere me te kii: ka whakawhirinaki nga kaihanga o te kaupapa puna tuwhera ki nga urupare me nga whakaaro mai i nga kaiwhakamahi, i runga i o raatau ripoata mo i kitea nga hapa me etahi atu raruraru.
Ma te whakamahi i te Graudit mo te Tatari Haumarutanga Waehere
Ka taea e koe te whakamahi i nga momo taputapu puna tuwhera mo te tātari waehere pateko; kaore he taputapu mo te ao katoa mo nga reo hotaka katoa. Ko nga kaihanga o etahi o ratou e whai ana i nga taunakitanga OWASP me te ngana ki te kapi i nga reo maha ka taea.
I konei ka whakamahia e matou
He taputapu rite mo te tātari waehere pateko - Rough Auditing Tool for Security (RATS), Securitycompass Web Application Analysis Tool (SWAAT), flawfinder me etahi atu. Engari he tino ngawari a Graudit me te iti o nga whakaritenga hangarau. Heoi ano, ka raru pea koe kaore e taea e Graudit te whakaoti. Na ka taea e koe te rapu mo etahi atu whiringa i konei
Ka taea e tatou te whakauru i tenei taputapu ki roto i tetahi kaupapa motuhake, ki te waatea ranei ki tetahi kaiwhakamahi kua tohua, ka whakamahi ranei i te wa kotahi i roto i a maatau kaupapa katoa. I konei hoki ka uru mai te ngawari o Graudit. No reira, me kati te repo i te tuatahi:
$ git clone https://github.com/wireghoul/graudit
Inaianei me hanga he hononga tohu mo Graudit hei whakamahi i te whakatakotoranga whakahau
$ cd ~/bin && mkdir graudit
$ ln --symbolic ~/graudit/graudit ~/bin/graudit
Me taapiri he ingoa ingoa ki te .bashrc (he aha ranei te konae whirihoranga e whakamahia ana e koe):
#------ .bashrc ------
alias graudit="~/bin/graudit"
Whakaara Anō:
$ source ~/.bashrc # OR
$ exex $SHELL
Kia tirohia mena i angitu te whakaurunga:
$ graudit -h
Mena ka kite koe i tetahi mea rite, ka pai nga mea katoa.
Ka whakamatautau ahau i tetahi o aku kaupapa o naianei. I mua i te whakahaerenga o te taputapu, me tuku he papa korero e rite ana ki te reo i tuhia ai taku kaupapa. Kei te kōpaki ~/gradit/signatures ngā pātengi raraunga:
$ graudit -d ~/gradit/signatures/js.db
Na, i whakamatauria e ahau nga konae js e rua mai i taku kaupapa, a ka whakaatu a Graudit i nga korero mo nga whakaraeraetanga o taku waehere ki te papatohu:
Ka taea e koe te whakamatautau i o kaupapa i te huarahi ano. Ka taea e koe te kite i te rarangi o nga papaa raraunga mo nga reo hotaka rereke
Nga painga me nga kino o Graudit
Ka tautoko a Graudit i nga reo maha. Na reira, he pai mo te tini o nga kaiwhakamahi. Ka taea e ia te whakataetae me nga utu utu utu ranei. A he mea tino nui kei te mahi tonu nga whakapainga ki te kaupapa, kaore te hapori e awhina i nga kaihanga anake, engari ano hoki etahi atu kaiwhakamahi e ngana ana ki te whakaaro i te taputapu.
He taputapu pai tenei, engari i tenei wa kaore e taea te tohu i nga wa katoa he aha te raru o tetahi waahanga tohu whakapae. Kei te whakapai tonu nga kaihanga ki a Graudit.
Engari ahakoa he aha, he pai ki te aro ki nga raruraru haumarutanga pea i roto i te waehere i te wa e whakamahi ana i nga taputapu penei.
Tīmata…
I roto i tenei tuhinga, i titiro ahau ki tetahi noa o nga huarahi maha ki te rapu whakaraeraetanga - static application security testing . He ngawari te whakahaere i te tātari waehere pateko, engari he timatanga noa iho. Hei ako atu mo te haumarutanga o to turanga waehere, me whakauru e koe etahi atu momo whakamatautau ki to huringa oranga whanaketanga rorohiko.
I runga i nga Tika Tika
Source: will.com