ပရိုဂရမ်ကုဒ်တွင် အားနည်းချက်များကို ရှာဖွေရန် ရိုးရှင်းသော အသုံးဝင်ပုံကို အသုံးပြုနည်း

Graudit သည် ပရိုဂရမ်းမင်းဘာသာစကားများစွာကို ပံ့ပိုးပေးပြီး ဖွံ့ဖြိုးတိုးတက်မှုလုပ်ငန်းစဉ်တွင် codebase လုံခြုံရေးစစ်ဆေးမှုကို တိုက်ရိုက်ပေါင်းစပ်နိုင်စေပါသည်။

source: Unsplash (Markus Spiske)

စမ်းသပ်ခြင်းသည် software development life cycle ၏ အရေးကြီးသော အစိတ်အပိုင်းတစ်ခုဖြစ်သည်။ စမ်းသပ်မှုအမျိုးအစားများစွာရှိသည်၊ ၎င်းတို့တစ်ခုချင်းစီသည်၎င်း၏ကိုယ်ပိုင်ပြဿနာကိုဖြေရှင်းသည်။ ဒီနေ့ ကုဒ်မှာ လုံခြုံရေး ပြဿနာရှာတာ အကြောင်း ပြောချင်ပါတယ်။

ထင်ရှားသည်မှာ၊ ဆော့ဖ်ဝဲလ်ဖွံ့ဖြိုးတိုးတက်မှု၏ ခေတ်သစ်ဖြစ်ရပ်မှန်များတွင်၊ လုပ်ငန်းစဉ်လုံခြုံရေးသေချာစေရန် အရေးကြီးပါသည်။ တစ်ချိန်က၊ အထူးအသုံးအနှုန်း DevSecOps ကိုပင်မိတ်ဆက်ခဲ့သည်။ ဤအသုံးအနှုန်းသည် အက်ပလီကေးရှင်းတစ်ခုတွင် အားနည်းချက်များကို ဖော်ထုတ်ရန်နှင့် ဖယ်ရှားပစ်ရန် ရည်ရွယ်သည့် လုပ်ထုံးလုပ်နည်းများ ဆက်တိုက်ကို ရည်ညွှန်းသည်။ စံနှုန်းများနှင့်အညီ အားနည်းချက်များကို စစ်ဆေးရန်အတွက် အထူးပြု open source ဖြေရှင်းချက်များ ရှိပါသည်။ OWASPအရင်းအမြစ်ကုဒ်တွင် အားနည်းချက်များ၏ မတူညီသော အမျိုးအစားများနှင့် အပြုအမူများကို ဖော်ပြသည်။

Static Application Security Testing (SAST)၊ Dynamic Application Security Testing (DAST)၊ Interactive Application Security Testing (IAST)၊ Software Composition Analysis ကဲ့သို့သော လုံခြုံရေးပြဿနာများကို ဖြေရှင်းရန် မတူညီသော ချဉ်းကပ်မှုများ ရှိပါသည်။

တည်ငြိမ်သော အပလီကေးရှင်းလုံခြုံရေး စမ်းသပ်ခြင်းသည် ရေးပြီးသားကုဒ်တွင် အမှားများကို ခွဲခြားသတ်မှတ်သည်။ ဤချဉ်းကပ်နည်းသည် အပလီကေးရှင်းကိုလည်ပတ်ရန်မလိုအပ်သောကြောင့် ၎င်းကို static analysis ဟုခေါ်သည်။

static code ခွဲခြမ်းစိတ်ဖြာခြင်းအပေါ် အာရုံစိုက်ပြီး လက်တွေ့တွင် အရာအားလုံးကို သရုပ်ပြရန် ရိုးရှင်းသော open source tool ကို အသုံးပြုပါမည်။

ငြိမ်ကုဒ်လုံခြုံရေးခွဲခြမ်းစိတ်ဖြာမှုအတွက် ပွင့်လင်းသောအရင်းအမြစ်တူးလ်ကို ဘာကြောင့်ရွေးချယ်ခဲ့တာလဲ။

ယင်းအတွက် အကြောင်းရင်းများစွာ ရှိသည်- ပထမဦးစွာ၊ သင်သည် အခြား developer များကို ကူညီလိုသော စိတ်တူကိုယ်တူရှိသော အသိုင်းအဝိုင်းမှ တီထွင်ထားသော တူးလ်တစ်ခုကို သင်အသုံးပြုနေခြင်းကြောင့် အခမဲ့ဖြစ်သည်။ သင့်တွင် အဖွဲ့ငယ် သို့မဟုတ် စတင်တည်ထောင်သူရှိပါက၊ သင်၏ codebase ၏လုံခြုံရေးကို စမ်းသပ်ရန် open source software ကိုအသုံးပြုခြင်းဖြင့် ငွေစုရန် အခွင့်အလမ်းကောင်းရှိသည်။ ဒုတိယအနေဖြင့်၊ ၎င်းသည် သီးခြား DevSecOps အဖွဲ့ကို ငှားရမ်းရန် လိုအပ်ပြီး သင်၏ကုန်ကျစရိတ်များကို ပိုမိုလျှော့ချပေးသည်။

ပြောင်းလွယ်ပြင်လွယ်ရှိမှုအတွက် တိုးမြှင့်ထားသောလိုအပ်ချက်များကို ထည့်သွင်းစဉ်းစား၍ ကောင်းမွန်သော open source ကိရိယာများကို အမြဲဖန်တီးထားသည်။ ထို့ကြောင့် ၎င်းတို့ကို လုပ်ငန်းဆောင်တာများ ကျယ်ပြန့်စွာလွှမ်းခြုံနိုင်သော မည်သည့်ပတ်ဝန်းကျင်တွင်မဆို အသုံးပြုနိုင်သည်။ ၎င်းတို့၏ပရောဂျက်များကိုလုပ်ဆောင်နေစဉ်တွင် ၎င်းတို့တည်ဆောက်ထားပြီးဖြစ်သည့်စနစ်နှင့် ဆော့ဖ်ဝဲအင်ဂျင်နီယာများအတွက် ယင်းကိရိယာများကို ချိတ်ဆက်ရန် ပိုမိုလွယ်ကူသည်။

ဒါပေမယ့် သင်ရွေးချယ်တဲ့ tool မှာ မရရှိနိုင်တဲ့ အင်္ဂါရပ်တစ်ခု လိုအပ်တဲ့အခါ အချိန်တွေလည်း ရှိနိုင်ပါတယ်။ ဤကိစ္စတွင်၊ သင်သည် ၎င်း၏ကုဒ်ကို ဖြတ်ကာ သင်လိုအပ်သော လုပ်ဆောင်နိုင်စွမ်းဖြင့် ၎င်းကို အခြေခံ၍ သင်၏ကိုယ်ပိုင်ကိရိယာကို တီထွင်ရန် အခွင့်အရေးရှိသည်။

အခြေအနေအများစုတွင် open source ဆော့ဖ်ဝဲကို အသိုင်းအဝိုင်းက တက်ကြွစွာ လွှမ်းမိုးထားသောကြောင့်၊ အပြောင်းအလဲများပြုလုပ်ရန် ဆုံးဖြတ်ချက်သည် အလွန်လျင်မြန်ပြီး အချက်တစ်ချက်ဖြစ်သည်- open source ပရောဂျက်၏ developer များသည် သုံးစွဲသူများထံမှ အကြံပြုချက်များနှင့် အကြံပြုချက်များကို ၎င်းတို့၏ အစီရင်ခံစာများတွင် မှီခိုနေရပါသည်။ Error များနှင့် အခြားပြဿနာများ

Code Security Analysis အတွက် Graudit ကို အသုံးပြုခြင်း။

static code ခွဲခြမ်းစိတ်ဖြာမှုအတွက် အမျိုးမျိုးသော open source tools များကို သင်အသုံးပြုနိုင်သည်၊ ပရိုဂရမ်းမင်းဘာသာစကားအားလုံးအတွက် universal tool မရှိပါ။ ၎င်းတို့ထဲမှ အချို့သော developer များသည် OWASP အကြံပြုချက်များကို လိုက်နာပြီး ဘာသာစကားများစွာကို တတ်နိုင်သမျှ ဖုံးအုပ်ရန် ကြိုးစားကြသည်။

ဤတွင်ကျွန်ုပ်တို့အသုံးပြုပါမည်။ ဂရိတ်ကျွန်ုပ်တို့၏ codebase တွင် အားနည်းချက်များကို ရှာဖွေနိုင်စေမည့် ရိုးရှင်းသော command line utility တစ်ခုဖြစ်သည်။ ၎င်းသည် မတူညီသောဘာသာစကားများကို ပံ့ပိုးပေးသော်လည်း ၎င်းတို့၏အစုံသည် အကန့်အသတ်ရှိနေဆဲဖြစ်သည်။ Graudit သည် တစ်ချိန်က GNU လိုင်စင်အောက်တွင် ထွက်ရှိခဲ့သော grep utility ကို အခြေခံ၍ တီထွင်ထားခြင်း ဖြစ်သည်။

တည်ငြိမ်ကုဒ်ခွဲခြမ်းစိတ်ဖြာခြင်းအတွက် အလားတူကိရိယာများ ရှိသည် - လုံခြုံရေးအတွက် အကြမ်းဖျင်းစစ်ဆေးခြင်းတူးလ် (RATS)၊ Securitycompass ဝဘ်အက်ပလီကေးရှင်း ခွဲခြမ်းစိတ်ဖြာမှုတူးလ် (SWAAT)၊ အပြစ်အနာအဆာ စသည်တို့ဖြစ်သည်။ သို့သော် Graudit သည် အလွန်လိုက်လျောညီထွေရှိပြီး နည်းပညာဆိုင်ရာ လိုအပ်ချက်အနည်းငယ်သာရှိသည်။ သို့သော် Graudit မဖြေရှင်းနိုင်သော ပြဿနာများ သင့်တွင်ရှိနိုင်သည်။ ထို့နောက် အခြားရွေးချယ်စရာများကို ဤနေရာတွင် ရှာဖွေနိုင်ပါသည်။ ဤစာရင်းတွင်.

ကျွန်ုပ်တို့သည် ဤကိရိယာကို သီးခြားပရောဂျက်တစ်ခုတွင် ပေါင်းစည်းနိုင်သည်၊ သို့မဟုတ် ရွေးချယ်ထားသည့်အသုံးပြုသူတစ်ဦးအတွက် ရနိုင်စေသည်၊ သို့မဟုတ် ကျွန်ုပ်တို့၏ပရောဂျက်အားလုံးတွင် ၎င်းကို တစ်ပြိုင်နက်အသုံးပြုနိုင်သည်။ ဤသည်မှာ Graudit ၏ပြောင်းလွယ်ပြင်လွယ်ဖြစ်လာသည်။ ဒါဆို repo ကို အရင် clone လုပ်ကြည့်ရအောင်။

$ git clone https://github.com/wireghoul/graudit

ယခု Graudit ကို အမိန့်ဖော်မတ်ဖြင့် အသုံးပြုရန်အတွက် သင်္ကေတလင့်ခ်တစ်ခုကို ဖန်တီးလိုက်ကြပါစို့

$ cd ~/bin && mkdir graudit
$ ln --symbolic ~/graudit/graudit ~/bin/graudit

.bashrc (သို့မဟုတ် သင်အသုံးပြုနေသည့် မည်သည့်ဖွဲ့စည်းပုံဖိုင်ကိုမဆို .bashrc တွင် alias တစ်ခုထည့်ကြပါစို့-

#------ .bashrc ------
alias graudit="~/bin/graudit"

ပြန်ဖွင့်ပါ-

$ source ~/.bashrc # OR
$ exex $SHELL

တပ်ဆင်မှု အောင်မြင်ခြင်း ရှိ၊ မရှိ စစ်ဆေးကြပါစို့။

$ graudit -h

အလားသဏ္ဍာန်တူတာတွေ့ရင် အားလုံးအဆင်ပြေပါတယ်။

ကျွန်ုပ်၏ လက်ရှိပရောဂျက်များထဲမှ တစ်ခုကို စမ်းသပ်ပါမည်။ ကိရိယာကို မလည်ပတ်မီ၊ ကျွန်ုပ်၏ ပရောဂျက်ကို ရေးသားသည့် ဘာသာစကားနှင့် သက်ဆိုင်သည့် ဒေတာဘေ့စ်ကို ပေးပို့ရန် လိုအပ်သည်။ ဒေတာဘေ့စ်များသည် ~/gradit/signatures ဖိုင်တွဲတွင် တည်ရှိသည်-

$ graudit -d ~/gradit/signatures/js.db

ထို့ကြောင့်၊ ကျွန်ုပ်သည် ကျွန်ုပ်၏ပရောဂျက်မှ js ဖိုင်နှစ်ခုကို စမ်းသပ်ခဲ့ပြီး Graudit သည် ကျွန်ုပ်၏ကုဒ်ရှိ အားနည်းချက်များအကြောင်း အချက်အလက်များကို ကွန်ဆိုးလ်သို့ ပြသခဲ့သည်-

သင့်ပရောဂျက်များကို အလားတူနည်းဖြင့် စမ်းသပ်နိုင်ပါသည်။ မတူညီသော ပရိုဂရမ်းမင်းဘာသာစကားများအတွက် ဒေတာဘေ့စ်စာရင်းကို သင်ကြည့်ရှုနိုင်ပါသည်။ ဒီမှာ.

Graudit ၏ အားသာချက်များနှင့် အားနည်းချက်များ

Graudit သည် ပရိုဂရမ်းမင်းဘာသာစကားများစွာကို ပံ့ပိုးပေးသည်။ ထို့ကြောင့် ကျယ်ပြန့်သော အသုံးပြုသူများအတွက် သင့်လျော်ပါသည်။ ၎င်းသည် မည်သည့်အခမဲ့ သို့မဟုတ် အခပေး analogues များနှင့်မဆို လုံလောက်စွာ ယှဉ်ပြိုင်နိုင်သည်။ ပရောဂျက်အတွက် တိုးတက်မှုများကို ဆက်လက်လုပ်ဆောင်နေရန် အလွန်အရေးကြီးပါသည်၊ အသိုင်းအဝိုင်းသည် developer များကိုသာမက tool ကိုရှာဖွေရန် ကြိုးစားနေသော အခြားအသုံးပြုသူများကိုလည်း ကူညီပေးပါသည်။

၎င်းသည် အသုံးဝင်သောကိရိယာတစ်ခုဖြစ်သော်လည်း ယခုအချိန်အထိ သံသယဖြစ်ဖွယ်ကုဒ်အပိုင်းတစ်ခုနှင့် ပြဿနာဖြစ်နေသည်ကို အတိအကျ မဖော်ပြနိုင်သေးပါ။ Developer များသည် Graudit ကို ဆက်လက်တိုးတက်စေပါသည်။

မည်သို့ပင်ဆိုစေ၊ ဤကဲ့သို့သောကိရိယာများကိုအသုံးပြုသောအခါတွင်ဖြစ်နိုင်ချေရှိသောလုံခြုံရေးပြဿနာများကိုအာရုံစိုက်ရန်၎င်းသည်အသုံးဝင်သည်။

အစ ...

ဤဆောင်းပါးတွင်၊ အားနည်းချက်များကိုရှာဖွေရန်နည်းလမ်းများစွာထဲမှတစ်ခုသာဖြစ်သည် - static application security testing ကိုကြည့်ပါ။ static code ခွဲခြမ်းစိတ်ဖြာမှုပြုလုပ်ရန် လွယ်ကူသော်လည်း ၎င်းသည် အစသာဖြစ်သည်။ သင့်ကုဒ်ဘေ့စ်၏ လုံခြုံရေးအကြောင်း ပိုမိုလေ့လာရန်၊ သင်သည် အခြားစမ်းသပ်မှုအမျိုးအစားများကို သင်၏ဆော့ဖ်ဝဲလ်ဖွံ့ဖြိုးတိုးတက်မှုဘဝစက်ဝန်းတွင် ပေါင်းစပ်ရန်လိုအပ်သည်။

ကြော်ငြာအဖြစ်

ယုံကြည်စိတ်ချရသော VPS နှင့် အကောက်ခွန်အစီအစဉ်၏ မှန်ကန်သောရွေးချယ်မှုသည် သင့်အား မနှစ်မြို့ဖွယ်ပြဿနာများဖြင့် ဖွံ့ဖြိုးတိုးတက်မှုဆီမှ အာရုံလွဲမသွားစေဘဲ အရာအားလုံးသည် မအောင်မြင်ဘဲနှင့် အလွန်မြင့်မားသော အလုပ်ချိန်ဖြင့် လုပ်ဆောင်နိုင်မည်ဖြစ်သည်။

source: www.habr.com