ProHoster > Blog > Pulega > Fa'afefea ona fa'aoga se fa'aoga faigofie e su'e ai fa'aletonu i le code program

Fa'afefea ona fa'aoga se fa'aoga faigofie e su'e ai fa'aletonu i le code program

E lagolagoina e le Graudit le tele o gagana polokalame ma faŹ»atagaina oe e tuŹ»ufaŹ»atasia faŹ»ataŹ»itaŹ»iga faŹ»amaonia codebase saŹ»o i le faagasologa o le atinaŹ»e.

Fa'afefea ona fa'aoga se fa'aoga faigofie e su'e ai fa'aletonu i le code program
puna: Unsplash (Markus Spiske)

O le su'ega o se vaega taua o le olaga fa'atupuina o polokalame. E tele ituaiga o suŹ»ega, taŹ»itasi e foia lona lava faŹ»afitauli. O le asō ou te fia talanoa e uiga i le sailia o faafitauli saogalemu i le code.

E manino lava, i mea moni faŹ»aonaponei o le atinaŹ»eina o polokalama, e taua le faŹ»amautinoaina o le saogalemu o gaioiga. I se tasi taimi, na faŹ»aalia ai le upu faŹ»apitoa DevSecOps. O lenei faaupuga e faasino i se faasologa o taualumaga e faŹ»atatau i le faŹ»amaonia ma le faŹ»aitiitia o faŹ»afitauli i totonu o se talosaga. O loŹ»o iai faŹ»amatalaga faŹ»apitoa faŹ»apitoa mo le siakiina o faŹ»afitauli e tusa ai ma tulaga faŹ»avae OWASP, lea e faŹ»amatalaina ai ituaiga ma amioga eseese o faŹ»afitauli i le code source.

E eseese auala e foia ai faafitauli tau puipuiga, e pei ole Static Application Security Testing (SAST), Dynamic Application Security Testing (DAST), Interactive Application Security Testing (IAST), Software Composition Analysis, ma isi.

O su'ega fa'akomepiuta fa'akomepiuta e iloa ai mea sese i fa'ailoga ua uma ona tusia. O lenei faiga e le manaŹ»omia ai le talosaga e tamoŹ»e, o le mea lea e taŹ»ua ai le suŹ»esuŹ»ega static.

O le a ou taulaŹ»i atu i le suŹ»esuŹ»eina o code code ma faŹ»aoga se meafaigaluega faŹ»apipiŹ»i faigofie e faŹ»aalia ai mea uma i le faŹ»atinoga.

Aisea na ou filifilia ai se mea faigaluega punaoa tatala mo le suŹ»esuŹ»eina o le saogalemu code static

E tele mafuaaga mo lenei mea: muamua, e leai se totogi ona o loŹ»o e faŹ»aaogaina se meafaigaluega na fausia e se faŹ»alapotopotoga o tagata e tutusa o latou mafaufau e fia fesoasoani i isi atinaŹ»e. Afai e iai sau 'au toŹ»aitiiti poŹ»o se amataga, e te maua se avanoa sili e teu ai tupe e ala i le faŹ»aogaina o polokalama tatala punaoa e suŹ»e ai le saogalemu o lau codebase. Lona lua, e faŹ»aumatia ai le manaŹ»oga mo oe e faŹ»afaigaluega se isi DevSecOps 'au, faŹ»aititia atili au tau.

E fa'atupu pea mea faigaluega fa'apitoa matala lelei e fa'atatau i mana'oga fa'aopoopo mo le fetu'una'i. O le mea lea, e mafai ona faŹ»aaogaina i le toetoe lava o soŹ»o se siosiomaga, e aofia ai le tele o galuega. E sili atu le faigofie mo le au atinaŹ»e ona faŹ»afesoŹ»otaŹ»i ia meafaigaluega ma le faiga ua uma ona latou fausia aŹ»o galulue i a latou galuega.

Ae atonu e iai taimi e te manaŹ»omia ai se vaega e le o maua i le meafaigaluega e te filifilia. I lenei tulaga, e te maua le avanoa e tui ai lana code ma atiaŹ»e lau lava meafaigaluega faŹ»avae i luga ma le faŹ»atinoga e te manaŹ»omia.

Talu ai i le tele o tulaga, o le atinaŹ»eina o polokalama faŹ»apipiŹ»i matala e matuaŹ»i aŹ»afia e le alalafaga, o le faaiuga e fai suiga e fai vave ma i le tulaga: o le au atinaŹ»e o le faŹ»aogaina o le punaoa tatala e faŹ»alagolago i manatu faaalia ma fautuaga mai tagata faŹ»aoga, ia latou lipoti o mea sese na maua ma isi fa'afitauli.

Fa'aaogaina o le Graudit mo le Su'esu'ega Puipuiga o Tulafono

E mafai ona e fa'aogaina meafaigaluega fa'apitoa mo le su'esu'eina o tulafono fa'apitoa e leai se mea faigaluega lautele mo gagana fa'apolokalame uma. O le au atiaŹ»e o nisi oi latou e mulimuli i fautuaga a le OWASP ma taumafai e aofia ai le tele o gagana pe a mafai.

O iinei o le a matou faŹ»aaogaina Graudit, o se faŹ»aoga faigofie laina laina e mafai ai ona tatou maua ni faŹ»afitauli i totonu o la tatou codebase. E lagolagoina gagana eseese, ae o loŹ»o faŹ»atapulaŹ»aina a latou seti. Graudit ua atiaŹ»e e faŹ»avae i luga o le grep utility utility, lea na faŹ»asaŹ»oloto muamua i lalo ole laisene GNU.

O lo'o iai mea faigaluega fa'atusa mo su'esu'ega fa'amautu - Rough Su'etusi Meafaigaluega mo Puipuiga (RATS), Securitycompass Web Application Analysis Tool (SWAAT), flawfinder ma isi. Ae o le Graudit e matua fetuutuunai ma e itiiti ni manaŹ»oga faŹ»apitoa. Ae ui i lea, atonu e iai ni au faŹ»afitauli e le mafai e Graudit ona foia. Ona mafai lea ona e suŹ»eina isi filifiliga iinei i luga o lenei lisi.

E mafai ona matou tuŹ»ufaŹ»atasia lenei mea faigaluega i totonu o se galuega faŹ»apitoa, pe faŹ»aavanoaina i se tagata faŹ»aoga filifilia, pe faŹ»aaogaina i le taimi e tasi i a tatou galuega uma. O le mea foi lea e sau ai le fetuutuunai a Graudit. SeŹ»i o tatou faŹ»apipiŹ»i muamua le repo:

$ git clone https://github.com/wireghoul/graudit

Se'i o tatou faia se feso'ota'iga fa'atusa mo Graudit e fa'aoga ai ile fa'atonuga

$ cd ~/bin && mkdir graudit
$ ln --symbolic ~/graudit/graudit ~/bin/graudit

Se'i o tatou fa'aopoopoina se igoa i le .bashrc (po'o so'o se faila fa'atulagaina o lo'o e fa'aogaina):

#------ .bashrc ------
alias graudit="~/bin/graudit"

Toe fa'afou:

$ source ~/.bashrc # OR
$ exex $SHELL

Sei o tatou siaki pe na manuia le faŹ»apipiŹ»iina:

$ graudit -h

Afai e te vaŹ»ai i se mea faapena, o lona uiga o loŹ»o lelei mea uma.

Fa'afefea ona fa'aoga se fa'aoga faigofie e su'e ai fa'aletonu i le code program

O le a ou su'eina se tasi o a'u poloketi o iai. AŹ»o leŹ»i faŹ»aogaina le meafaigaluega, e manaŹ»omia ona pasia se faŹ»amaumauga e fetaui ma le gagana o loŹ»o tusia ai laŹ»u galuega. O faŹ»amaumauga o loŹ»o i totonu o le ~/gradit/signatures folder:

$ graudit -d ~/gradit/signatures/js.db

O lea, na ou faŹ»ataŹ»itaŹ»iina faila js e lua mai laŹ»u poloketi, ma faŹ»aalia e Graudit faŹ»amatalaga e uiga i faŹ»afitauli i laŹ»u code i le faŹ»amafanafanaga:

Fa'afefea ona fa'aoga se fa'aoga faigofie e su'e ai fa'aletonu i le code program

Fa'afefea ona fa'aoga se fa'aoga faigofie e su'e ai fa'aletonu i le code program

E mafai ona e taumafai e su'e au poloketi i le auala lava e tasi. E mafai ona e va'ai i se lisi o fa'amaumauga mo gagana eseese polokalame iinei.

Tulaga lelei ma le le lelei o le Graudit

E lagolagoina e Graudit le tele o gagana polokalame. O le mea lea, e talafeagai mo le tele o tagata faŹ»aoga. E mafai ona fetaui lelei ma so'o se analogues e leai se totogi pe totogi. Ma e taua tele le faŹ»aleleia atili o le poloketi, ma e le gata ina fesoasoani le alalafaga i le au atinaŹ»e, ae faŹ»apea foŹ»i ma isi tagata faŹ»aoga o loŹ»o taumafai e iloa le meafaigaluega.

O se meafaigaluega faŹ»aoga lelei, ae e oŹ»o mai i le taimi nei e le mafai ona faŹ»amaonia tonu le faŹ»afitauli o loŹ»o i ai i se fasi faŹ»ailoga masalosalo. O loŹ»o faŹ»aauau pea ona faŹ»aleleia e le au atinaŹ»e le Graudit.

Ae i soŹ»o se tulaga, e aoga le gauai atu i faŹ»afitauli saogalemu i le code pe a faŹ»aogaina meafaigaluega faŹ»apenei.

Amataā€¦

I lenei tusiga, na ou tilotilo i se tasi o le tele o auala e maua ai faŹ»afitauli - static application security testing . O le fa'atinoina o su'esu'ega fa'amautu e faigofie, ae ua na'o le amataga. Ina ia a'oa'o atili e uiga i le saogalemu o lau codebase, e mana'omia lou tu'ufa'atasia o isi ituaiga su'ega i lau fa'asologa o le atina'eina o polokalama.

I Aia Tatau o Faasalalauga

VPS faatuatuaina ma o le filifiliga saŹ»o o le fuafuaga o le tau o le a faŹ»atagaina oe e faŹ»aitiitia le faŹ»alavelaveina mai le atinaŹ»e e ala i faŹ»afitauli le lelei - o mea uma o le a aoga e aunoa ma se toilalo ma se taimi maualuga maualuga!

Fa'afefea ona fa'aoga se fa'aoga faigofie e su'e ai fa'aletonu i le code program

puna: www.habr.com

FaŹ»atau talimalo faŹ»atuatuaina mo nofoaga ma DDoS puipuiga, VPS VDS servers šŸ”„ Fa'atau le 'upega tafa'ilagi talimalo fa'atuatuaina ma le puipuiga DDoS, 'au'aunaga VPS VDS | ProHoster