Graudit e ts'ehetsa lipuo tse ngata tsa mananeo mme e u lumella ho kopanya tlhahlobo ea ts'ireletso ea codebase ka kotloloho ts'ebetsong ea nts'etsopele.
Source: (Markus Spiske)
Teko ke karolo ea bohlokoa ea potoloho ea bophelo ba nts'etsopele ea software. Ho na le mefuta e mengata ea liteko, e 'ngoe le e' ngoe ea tsona e rarolla bothata ba eona. Kajeno ke batla ho bua ka ho fumana mathata a ts'ireletso ka khoutu.
Ho hlakile hore linthong tsa sejoale-joale tsa nts'etsopele ea software, ke habohlokoa ho netefatsa ts'ireletso ea ts'ebetso. Ka nako e 'ngoe, ho ile ha hlahisoa lentsoe le khethehileng la DevSecOps. Lentsoe lena le bolela letoto la mekhoa e reretsoeng ho hloaea le ho felisa bofokoli ba kopo. Ho na le litharollo tse khethehileng tsa mohloli o bulehileng oa ho lekola bofokoli ho latela maemo , e hlalosang mefuta e fapaneng le boitšoaro ba bofokoli ho khoutu ea mohloli.
Ho na le mekhoa e fapaneng ea ho rarolla mathata a ts'ireletso, joalo ka Static Application Security Testing (SAST), Dynamic Application Security Testing (DAST), Interactive Application Security Testing (IAST), Software Composition Analysis, joalo-joalo.
Teko e tsitsitseng ea ts'ireletso ea ts'ebeliso e supa liphoso ho khoutu e seng e ngotsoe. Mokhoa ona ha o hloke hore kopo e sebetse, ke kahoo e bitsoang static analysis.
Ke tla shebana le tlhahlobo ea khoutu e tsitsitseng mme ke sebelise sesebelisoa se bonolo sa mohloli o bulehileng ho bonts'a tsohle tse sebetsang.
Hobaneng ke khethile sesebelisoa se bulehileng sa tlhahlobo ea ts'ireletso ea khoutu e tsitsitseng
Ho na le mabaka a 'maloa a sena: pele, ke mahala hobane u sebelisa sesebelisoa se entsoeng ke sechaba sa batho ba nang le maikutlo a tšoanang ba batlang ho thusa bahlahisi ba bang. Haeba u na le sehlopha se senyenyane kapa ho qala, u na le monyetla o motle oa ho boloka chelete ka ho sebelisa software e bulehileng ea mohloli ho hlahloba tšireletso ea codebase ea hau. Taba ea bobeli, e felisa tlhoko ea hore u hire sehlopha se arohaneng sa DevSecOps, se fokotsa litšenyehelo tsa hau le ho feta.
Lisebelisoa tse ntle tsa mohloli o bulehileng li lula li etsoa ho nahanoa ka litlhoko tse eketsehileng bakeng sa ho tenyetseha. Ka hona, li ka sebelisoa hoo e batlang e le tikolohong efe kapa efe, tse koahelang mefuta e mengata ea mesebetsi. Ho bonolo haholo ho bahlahisi ho hokahanya lisebelisoa tse joalo le tsamaiso eo ba seng ba e hahile ha ba ntse ba sebetsa mererong ea bona.
Empa ho ka ba le linako tseo ka tsona u hlokang tšobotsi e sa fumaneheng sesebelisoa seo u se khethang. Tabeng ena, o na le monyetla oa ho fereko khoutu ea eona le ho hlahisa sesebelisoa sa hau se thehiloeng ho eona ka ts'ebetso eo ue hlokang.
Kaha maemong a mangata nts'etsopele ea software ea mohloli o bulehileng e susumetsoa ka mafolofolo ke sechaba, qeto ea ho etsa liphetoho e etsoa kapele le ho isa ntlheng: baetsi ba projeke ea mohloli o bulehileng ba itšetleha ka maikutlo le litlhahiso tse tsoang ho basebelisi, litlalehong tsa bona. liphoso tse fumanoeng le mathata a mang.
Ho sebelisa Graudit bakeng sa Tlhahlobo ea Ts'ireletso ea Khoutu
U ka sebelisa lisebelisoa tse fapaneng tsa mohloli o bulehileng bakeng sa tlhahlobo ea khoutu e tsitsitseng; ha ho na sesebelisoa sa bokahohleng bakeng sa lipuo tsohle tsa lenaneo. Bahlahisi ba tse ling tsa bona ba latela likhothaletso tsa OWASP mme ba leka ho akaretsa lipuo tse ngata kamoo ho ka khonehang.
Mona re tla sebelisa , sesebelisoa se bonolo sa taelo se tla re lumella ho fumana bofokoli ho codebase ea rona. E tšehetsa lipuo tse fapaneng, empa leha ho le joalo sete ea bona e lekanyelitsoe. Graudit e ntlafalitsoe ho ipapisitse le ts'ebeliso ea grep, e kileng ea lokolloa tlasa laesense ea GNU.
Ho na le lisebelisoa tse tšoanang bakeng sa tlhahlobo ea khoutu e tsitsitseng - Sesebelisoa sa Rough Auditing for Security (RATS), Securitycompass Web Application Analysis Tool (SWAAT), flawfinder joalo-joalo. Empa Graudit e tenyetseha haholo ebile e na le litlhoko tse fokolang tsa tekheniki. Leha ho le joalo, u ka ba le mathata ao Graudit a sitoang ho a rarolla. Joale u ka sheba likhetho tse ling mona .
Re ka kopanya sesebelisoa sena morerong o itseng, kapa ra etsa hore se fumanehe ho mosebelisi ea khethiloeng, kapa ra se sebelisa ka nako e le 'ngoe mererong eohle ea rona. Mona hape ke moo ho feto-fetoha ha maemo ha Graudit ho kenang teng. Kahoo a re kenye repo pele:
$ git clone https://github.com/wireghoul/grauditJoale ha re theheng sehokelo sa tšoantšetso sa Graudit ho se sebelisa ka sebopeho sa taelo
$ cd ~/bin && mkdir graudit
$ ln --symbolic ~/graudit/graudit ~/bin/grauditHa re kenye lebitso la lebitso ho .bashrc (kapa faele efe kapa efe eo u e sebelisang):
#------ .bashrc ------
alias graudit="~/bin/graudit"Qala hape:
$ source ~/.bashrc # OR
$ exex $SHELL
Ha re hlahlobeng hore na ho kenya ho atlehile:
$ graudit -hHaeba u bona ntho e tšoanang, joale tsohle li hantle.
Ke tla be ke leka e 'ngoe ea merero ea ka e teng. Pele o sebelisa sesebelisoa, o hloka ho fetisoa polokelong ea litaba e lumellanang le puo eo morero oa ka o ngotsoeng ka eona. Li-database li fumaneha ho ~/gradit/signatures foldareng:
$ graudit -d ~/gradit/signatures/js.dbKahoo, ke lekile lifaele tse peli tsa js ho tsoa morerong oa ka, 'me Graudit a bonts'a tlhahisoleseling mabapi le bofokoli khoutu ea ka ho khomphutha:
U ka leka ho lekola merero ea hau ka tsela e ts'oanang. U ka bona lethathamo la li-database tsa lipuo tse fapaneng tsa mananeo .
Melemo le Mefokolo ea Graudit
Graudit e tšehetsa lipuo tse ngata tsa lenaneo. Ka hona, e loketse mefuta e mengata ea basebelisi. E ka qothisana lehlokoa le li-analogues tsa mahala kapa tse lefelloang ka ho lekaneng. 'Me ke habohlokoa haholo hore lintlafatso li ntse li etsoa morerong ona,' me sechaba ha se thuse feela bahlahisi, empa le basebelisi ba bang ba lekang ho fumana sesebelisoa.
Sena ke sesebelisoa se sebetsang, empa ho fihlela joale ha se kamehla se ka supang hantle hore na bothata ke eng ka sekhechana sa khoutu se belaetsang. Bahlahisi ba ntse ba tsoela pele ho ntlafatsa Graudit.
Empa ho sa tsotellehe boemo leha e le bofe, ho molemo ho ela hloko mathata a ka 'nang a e-ba teng ka har'a khoutu ha u sebelisa lisebelisoa tse kang tsena.
Ho qala...
Sehloohong sena, ke shebile e 'ngoe ea litsela tse ngata tsa ho fumana bofokoli - tlhahlobo ea ts'ireletso ea ts'ebeliso e tsitsitseng. Ho etsa tlhahlobo ea khoutu e tsitsitseng ho bonolo, empa ke qalo feela. Ho ithuta haholoanyane ka polokeho ea codebase ea hau, o hloka ho kenyelletsa mefuta e meng ea liteko molemong oa bophelo ba hau ba nts'etsopele ea software.
E le papatso
'me khetho e nepahetseng ea moralo oa litefiso e tla u lumella hore u se ke ua sitisoa ke tsoelo-pele ka mathata a sa thabiseng - ntho e' ngoe le e 'ngoe e tla sebetsa ntle le liphoso le ka nako e phahameng haholo!
Source: www.habr.com