Graudit jappoġġja lingwi ta 'programmar multipli u jippermettilek tintegra l-ittestjar tas-sigurtà tal-kodiċi direttament fil-proċess ta' żvilupp.
Sors: (Markus Spiske)
L-ittestjar huwa parti importanti miċ-ċiklu tal-ħajja tal-iżvilupp tas-softwer. Hemm ħafna tipi ta 'ttestjar, kull wieħed minnhom issolvi l-problema tiegħu stess. Illum irrid nitkellem dwar is-sejba ta 'problemi ta' sigurtà fil-kodiċi.
Ovvjament, fir-realtajiet moderni tal-iżvilupp tas-softwer, huwa importanti li tiġi żgurata s-sigurtà tal-proċess. F'ħin wieħed, it-terminu speċjali DevSecOps saħansitra ġie introdott. Dan it-terminu jirreferi għal serje ta' proċeduri mmirati biex jidentifikaw u jeliminaw il-vulnerabbiltajiet f'applikazzjoni. Hemm soluzzjonijiet speċjalizzati ta’ sors miftuħ għall-iċċekkjar tal-vulnerabbiltajiet skont l-istandards , li jiddeskrivu t-tipi differenti u l-imġieba ta 'vulnerabbiltajiet fil-kodiċi tas-sors.
Hemm approċċi differenti biex jissolvew problemi ta 'sigurtà, bħal Ittestjar ta' Sigurtà ta 'Applikazzjoni Statika (SAST), Ittestjar ta' Sigurtà ta 'Applikazzjoni Dinamika (DAST), Ittestjar ta' Sigurtà ta 'Applikazzjoni Interattiva (IAST), Analiżi tal-Kompożizzjoni tas-Softwer, eċċ.
L-ittestjar statiku tas-sigurtà tal-applikazzjoni jidentifika żbalji fil-kodiċi diġà miktub. Dan l-approċċ ma jeħtieġx li l-applikazzjoni taħdem, u huwa għalhekk li tissejjaħ analiżi statika.
Ser niffoka fuq l-analiżi tal-kodiċi statiku u nuża għodda sempliċi open source biex nuri kollox fil-prattika.
Għaliex għażilt għodda open source għall-analiżi tas-sigurtà tal-kodiċi statiku
Hemm numru ta 'raġunijiet għal dan: l-ewwel, huwa b'xejn għaliex qed tuża għodda żviluppata minn komunità ta' nies li jaħsbuha l-istess li jridu jgħinu żviluppaturi oħra. Jekk għandek tim żgħir jew startup, għandek opportunità kbira biex tiffranka l-flus billi tuża softwer open source biex tittestja s-sigurtà tal-codebase tiegħek. It-tieni nett, telimina l-ħtieġa għalik li tikri tim DevSecOps separat, u tkompli tnaqqas l-ispejjeż tiegħek.
Għodod open source tajba huma dejjem maħluqa filwaqt li jitqiesu rekwiżiti akbar għall-flessibbiltà. Għalhekk, jistgħu jintużaw fi kważi kull ambjent, li jkopru firxa wiesgħa ta 'kompiti. Huwa ħafna aktar faċli għall-iżviluppaturi li jgħaqqdu tali għodod mas-sistema li jkunu diġà bnew waqt li jaħdmu fuq il-proġetti tagħhom.
Iżda jista 'jkun hemm drabi meta għandek bżonn karatteristika li mhix disponibbli fl-għodda li tagħżel. F'dan il-każ, għandek l-opportunità li tagħmel il-kodiċi tagħha u tiżviluppa l-għodda tiegħek ibbażata fuqha bil-funzjonalità li għandek bżonn.
Peress li fil-biċċa l-kbira tal-każijiet l-iżvilupp ta 'softwer b'sors miftuħ huwa influwenzat b'mod attiv mill-komunità, id-deċiżjoni li jsiru bidliet issir pjuttost malajr u sal-punt: l-iżviluppaturi tal-proġett ta' sors miftuħ jiddependu fuq feedback u suġġerimenti mill-utenti, fuq ir-rapporti tagħhom ta ' żbalji misjuba u problemi oħra.
Uża Graudit għall-Analiżi tas-Sigurtà tal-Kodiċi
Tista 'tuża diversi għodod ta' sors miftuħ għall-analiżi tal-kodiċi statiku; m'hemm l-ebda għodda universali għal-lingwi ta 'programmar kollha. L-iżviluppaturi ta 'xi wħud minnhom isegwu r-rakkomandazzjonijiet tal-OWASP u jippruvaw ikopru kemm jista' jkun lingwi.
Hawnhekk se nużaw , utilità sempliċi tal-linja tal-kmand li tippermettilna nsibu vulnerabbiltajiet fil-codebase tagħna. Jappoġġja lingwi differenti, iżda xorta waħda s-sett tagħhom huwa limitat. Graudit huwa żviluppat ibbażat fuq l-utilità ta 'utilità grep, li darba kienet rilaxxata taħt il-liċenzja GNU.
Hemm għodod simili għall-analiżi tal-kodiċi statiku - Għodda ta 'Awditjar mhux maħduma għas-Sigurtà (RATS), Għodda ta' Analiżi tal-Applikazzjoni tal-Web tas-Sigurtà (SWAAT), flawfinder u l-bqija. Iżda Graudit huwa flessibbli ħafna u għandu rekwiżiti tekniċi minimi. Madankollu, jista 'jkollok problemi li Graudit ma jistax isolvi. Imbagħad tista 'tfittex għażliet oħra hawn .
Nistgħu nintegraw din l-għodda fi proġett speċifiku, jew nagħmluha disponibbli għal utent magħżul, jew nużawha simultanjament fil-proġetti kollha tagħna. Dan huwa wkoll fejn tidħol il-flessibbiltà ta’ Graudit. Mela ejja nikklonu l-ewwel repo:
$ git clone https://github.com/wireghoul/grauditIssa ejja noħolqu link simboliku biex Graudit jużaha f'format ta' kmand
$ cd ~/bin && mkdir graudit
$ ln --symbolic ~/graudit/graudit ~/bin/grauditEjja nżidu alias ma' .bashrc (jew kwalunkwe fajl ta' konfigurazzjoni li qed tuża):
#------ .bashrc ------
alias graudit="~/bin/graudit"Ribootja mill-ġdid:
$ source ~/.bashrc # OR
$ exex $SHELL
Ejja niċċekkjaw jekk l-installazzjoni kinitx ta' suċċess:
$ graudit -hJekk tara xi ħaġa simili, allura kollox huwa tajjeb.
Se nkun qed nittestja wieħed mill-proġetti eżistenti tiegħi. Qabel ma tħaddem l-għodda, jeħtieġ li tiġi mgħoddija database li tikkorrispondi mal-lingwa li fiha huwa miktub il-proġett tiegħi. Id-databases jinsabu fil-folder ~/gradit/firem:
$ graudit -d ~/gradit/signatures/js.dbAllura, ittestjajt żewġ fajls js mill-proġett tiegħi, u Graudit wera informazzjoni dwar vulnerabbiltajiet fil-kodiċi tiegħi fil-console:
Tista' tipprova tittestja l-proġetti tiegħek bl-istess mod. Tista' tara lista ta' databases għal lingwi ta' programmar differenti .
Vantaġġi u Żvantaġġi ta 'Graudit
Graudit jappoġġja ħafna lingwi ta' programmar. Għalhekk, huwa adattat għal firxa wiesgħa ta 'utenti. Jista' jikkompeti b'mod adegwat ma' kwalunkwe analogu b'xejn jew imħallas. U huwa importanti ħafna li għadu qed isir titjib fil-proġett, u l-komunità mhux biss tgħin lill-iżviluppaturi, iżda wkoll lil utenti oħra li qed jippruvaw isibu l-għodda.
Din hija għodda utli, iżda s'issa mhux dejjem tista' tindika eżattament x'inhi l-problema b'biċċa kodiċi suspettuża. L-iżviluppaturi jkomplu jtejbu Graudit.
Iżda fi kwalunkwe każ, huwa utli li tingħata attenzjoni għal problemi potenzjali ta 'sigurtà fil-kodiċi meta tuża għodda bħal din.
Nibdew ...
F'dan l-artikolu, ħarist lejn wieħed biss minn ħafna modi biex issib vulnerabbiltajiet - ittestjar ta 'sigurtà tal-applikazzjoni statika. It-twettiq ta 'analiżi tal-kodiċi statiku huwa faċli, iżda huwa biss il-bidu. Biex titgħallem aktar dwar is-sigurtà tal-codebase tiegħek, trid tintegra tipi oħra ta' ttestjar fiċ-ċiklu tal-ħajja tal-iżvilupp tas-softwer tiegħek.
Dwar id-Drittijiet tar-Reklamar
u l-għażla korretta tal-pjan tat-tariffi tippermettilek li tkun inqas distratt mill-iżvilupp minn problemi spjaċevoli - kollox se jaħdem mingħajr fallimenti u bi żmien għoli ħafna!
Sors: www.habr.com