关于代码审计:开源-Swallow-代码审计系统体验

44次阅读

共计 802 个字符,预计需要花费 3 分钟才能阅读完成。

最近在哔哩哔哩看 到 Swallow 代码审计零碎的宣传, 发现性能比拟适宜我目前的工作须要, 装置应用了一下, 简略做了一个笔记, 分享给有须要的敌人.

底层架构为蜻蜓编排零碎, 墨菲 SCA,fortify,SemGrep,hema
我的项目地址:https://github.com/StarCrossPortal/swallow
装置与应用视频教程:https://www.bilibili.com/video/BV14h411V7m5/

增加仓库

装置过程我就不讲了, 间接记录如何应用, 以及成果吧.

首先须要在仓库列表, 找到增加按钮, 将 Git 仓库地址放进去, 而后会主动增加到列表中

如上图所示, 能够一次性增加多个仓库, 每行一个仓库地址就行了

破绽治理

增加进去之后, 等了 5 分钟, 便扫出了一些后果, 破绽治理这个列表进去的是 fortify 扫描进去的破绽,

点击查看详情, 能看到污点参数的入口, 还有执行的地位, 如下图所示

fortify 的报告是英文版本, 不过也都是一些常见的词汇, 用这到没啥影响.

查看危险函数

危险函数其实是通过 semgrep 实现的危险规定检测, 比方当调用一些敏感函数, 会在这里呈现; 当然呈现的其实也不仅仅是危险的函数, 可能还会有一些其余的规定

查看详情之后, 这里会看到具体的破绽信息

如上图所示, 这个提醒是说代码里用到了 system 函数, 而后就是解释这个函数为什么有相干平安危险.

查看依赖破绽

依赖破绽指的是 A 我的项目用到了 B 我的项目的代码, 如果 B 我的项目呈现破绽, 那么可能导致 A 我的项目也呈现,Swallow 的依赖破绽检测应用的是墨菲 SCA 工具, 如下图所示

开展详情页后, 能够看到依赖破绽的 CVE 编号

查看 WebShell

webshell 检测用的工具时河马, 这个工具目前会将可疑的文件列出来, 但不会犹太具体的信息

查看依赖组件

最初是依赖组件列表, 会将我的项目所依赖的组件都解析进去, 但这些信息只是辅助, 并不是说这些组件都存在平安问题.

正文完
 0