使用命令行工具 Graudit 来查找你代码中的安全漏洞

2020-10-27 16:33:26 编辑:dingxing 26

测试是软件开发生命周期(SDLC)的重要组成部分,它有几个阶段。今天,我想谈谈如何在代码中发现安全问题。在开发软件的时候,你不能忽视安全问题。这就是为什么有一个术语叫 DevSecOps,它的基本职责是识别和解决应用中的安全漏洞。有一些用于检查 OWASP 漏洞 的开源解决方案,它将通过创建源代码的威胁模型来得出结果。

处理安全问题有不同的方法,如静态应用安全测试(SAST)、动态应用安全测试(DAST)、交互式应用安全测试(IAST)、软件组成分析等。

静态应用安全测试在代码层面运行,通过发现编写好的代码中的错误来分析应用。这种方法不需要运行代码,所以叫静态分析。

我将重点介绍静态代码分析,并使用一个开源工具进行实际体验。

为什么要使用开源工具检查代码安全?

选择开源软件、工具和项目作为开发的一部分有很多理由。它不会花费任何金钱,因为你使用的是一个由志趣相投的开发者社区开发的工具,而他们希望帮助其他开发者。如果你有一个小团队或一个初创公司,找到开源软件来检查你的代码安全是很好的。这样可以让你不必单独雇佣一个 DevSecOps 团队,让你的成本降低。

好的开源工具总是考虑到灵活性,它们应该能够在任何环境中使用,覆盖尽可能多的情况。这让开发人员更容易将该软件与他们现有的系统连接起来。

但是有的时候,你可能需要一个功能,而这个功能在你选择的工具中是不可用的。那么你就可以选择复刻其代码,在其上开发自己的功能,并在你的系统中使用。

因为,大多数时候,开源软件是由社区驱动的,开发的速度往往是该工具的用户的加分项,因为他们会根据用户的反馈、问题或 bug 报告来迭代项目。

使用 Graudit 来确保你的代码安全

有各种开源的静态代码分析工具可供选择,但正如你所知道的,工具分析的是代码本身,这就是为什么没有通用的工具适用于所有的编程语言。但其中一些遵循 OWASP 指南,尽量覆盖更多的语言。

在这里,我们将使用 Graudit ,它是一个简单的命令行工具,可以让我们找到代码库中的安全缺陷。它支持不同的语言,但有一个固定的签名集。

Graudit 使用的 grep 是 GNU 许可证下的工具,类似的静态代码分析工具还有 Rough Auditing Tool for Security(RATS)、Securitycompass Web Application Analysis Tool(SWAAT)、flawfinder 等。但 Graudit 的技术要求是最低的,并且非常灵活。不过,你可能还是有 Graudit 无法满足的要求。如果是这样,你可以看看这个 列表 的其他的选择。

我们可以将这个工具安装在特定的项目下,或者全局命名空间中,或者在特定的用户下,或者任何我们喜欢地方,它很灵活。我们先来克隆一下仓库。

$ git clone https://github.com/wireghoul/graudit

现在,我们需要创建一个 Graudit 的符号链接,以便我们可以将其作为一个命令使用。

$ cd ~/bin &&; mkdir graudit$ ln --symbolic ~/graudit/graudit ~/bin/graudit

在 .bashrc (或者你使用的任何 shell 的配置文件)中添加一个别名。

#------ .bashrc ------alias graudit="~/bin/graudit"

重新加载 shell:

$ source ~/.bashrc # 或$ exex $SHELL

让我们通过运行这个来检查是否成功安装了这个工具。

$ graudit -h

如果你得到类似于这样的结果,那么就可以了。

使用命令行工具 Graudit 来查找你代码中的安全漏洞

图 1 Graudit 帮助页面

我正在使用我现有的一个项目来测试这个工具。要运行该工具,我们需要传递相应语言的数据库。你会在 signatures 文件夹下找到这些数据库。

$ graudit -d ~/gradit/signatures/js.db

我在现有项目中的两个 JavaScript 文件上运行了它,你可以看到它在控制台中抛出了易受攻击的代码。

使用命令行工具 Graudit 来查找你代码中的安全漏洞

JavaScript file showing Graudit display of vulnerable code

使用命令行工具 Graudit 来查找你代码中的安全漏洞

JavaScript file showing Graudit display of vulnerable code

你可以尝试在你的一个项目上运行这个,项目本身有一个长长的 数据库 列表,用于支持不同的语言。

Graudit 的优点和缺点

Graudit 支持很多语言,这使其成为许多不同系统上的用户的理想选择。由于它的使用简单和语言支持广泛,它可以与其他免费或付费工具相媲美。最重要的是,它们正在开发中,社区也支持其他用户。

虽然这是一个方便的工具,但你可能会发现很难将某个特定的代码识别为“易受攻击”。也许开发者会在未来版本的工具中加入这个功能。但是,通过使用这样的工具来关注代码中的安全问题总是好的。

总结

在本文中,我只介绍了众多安全测试类型中的一种:静态应用安全测试。从静态代码分析开始很容易,但这只是一个开始。你可以在你的应用开发流水线中添加其他类型的应用安全测试,以丰富你的整体安全意识。


  • 热门攻略
游戏新发
  • 飞天忍者猫无敌版 飞天忍者猫无敌版类型:动作冒险
    大小:16.5MB

    飞天忍者猫无敌版是一款非常好玩的动作游戏。游戏拥有非常多的唯美游戏场景、各种丰富多彩的关卡可供自由挑战、趣味性十足、娱乐性十足、玩家需要在游戏中躲避各种障碍、超越极限的速度、获取更高分购买更多道具。优装机下载站为大家提供飞天忍者猫安卓版、单机破解版下载,赶快来下载体验吧!

  • 汉堡城大亨 汉堡城大亨类型:经营策略
    大小:55.8MB

    汉堡城大亨安卓版是一款模拟经营汉堡店的手游,让你在厨房里不断地练习自己的技能,让你逐渐熟练掌握更多美味的制作方法。美味的饮品能给所有人带来欢乐,不同的果汁让人食欲大开。更多的美食搭配选择,满足更多的人。快来下载体验吧!

  • 找到外星人游戏免费最新版 找到外星人游戏免费最新版类型:休闲益智
    大小:116.33 MB

    找到外星人免费版下载最新版是一款画风魔性的休闲益智类游戏,找到外星人免费版下载最新版中的世界有许多外星人潜伏着,他们身上有着关于地球的重要情报,如果让外星飞船将他们带回去就会造成很严重的后果,玩家需要运用自己敏锐的观察力和强力的道具,揪出所有的外星人。

  • 成语消消闯关游戏免费手机版 成语消消闯关游戏免费手机版类型:休闲益智
    大小:55 MB

    成语消消闯关游戏免费下载手机版是一款有趣好玩的休闲益智类游戏,成语消消闯关游戏免费下载手机版将学习与游戏相结合,当玩家找到成语的同时,会解释当前成语的意思和出处,加深对成语的认识。软件拥有海量成语,寓教于乐,形象生动趣味十足,是一款老少皆宜的成语游戏。

  • 画个火柴人1游戏免费版 画个火柴人1游戏免费版类型:休闲益智
    大小:26.99MB

    画个火柴人游戏下载免费版是一款有趣好玩的休闲益智类游戏,画个火柴人游戏下载免费版中玩家需要用色彩笔先画个自己专属的角色,再根据探险情节和关卡需要,画多样的武器对抗怪兽,或是画丰富的道具消除障碍。创作一个属于自己的专属角色,来开始一段奇妙的冒险。

  • 见缝插针游戏免费正版 见缝插针游戏免费正版类型:休闲益智
    大小:5.99MB

    见缝插针免费版下载正版是一款火爆的休闲益智类手机游戏,见缝插针免费版下载正版中,玩家需要将游戏内的所有数字都插入到大球上,同时过程不能触碰到任何一个小球就闯关成功。中心旋转的球有快有慢,要选择最好的时机。游戏内的规则看着非常的简单,但是充满了超多的挑战

下载排行

今日更新 网站地图 排行榜

优装机下载站(http://www.uzhuangji.net/)版权所有(网站邮箱:gua_niu66@163.com)闽ICP备2022007482号-1

本站资源均收集整理于互联网,其著作权归原作者所有,如果有侵犯您权利的资源,请来信告知,我们将及时撤销相应资源。