最近在哔哩哔哩看 到 Swallow 代码审计零碎的宣传, 发现性能比拟适宜我目前的工作须要, 装置应用了一下, 简略做了一个笔记, 分享给有须要的敌人.
底层架构为蜻蜓编排零碎, 墨菲 SCA,fortify,SemGrep,hema
我的项目地址:https://github.com/StarCrossPortal/swallow
装置与应用视频教程:https://www.bilibili.com/video/BV14h411V7m5/
增加仓库
装置过程我就不讲了, 间接记录如何应用, 以及成果吧.
首先须要在仓库列表, 找到增加按钮, 将 Git 仓库地址放进去, 而后会主动增加到列表中
如上图所示, 能够一次性增加多个仓库, 每行一个仓库地址就行了
破绽治理
增加进去之后, 等了 5 分钟, 便扫出了一些后果, 破绽治理这个列表进去的是 fortify 扫描进去的破绽,
点击查看详情, 能看到污点参数的入口, 还有执行的地位, 如下图所示
fortify 的报告是英文版本, 不过也都是一些常见的词汇, 用这到没啥影响.
查看危险函数
危险函数其实是通过 semgrep 实现的危险规定检测, 比方当调用一些敏感函数, 会在这里呈现; 当然呈现的其实也不仅仅是危险的函数, 可能还会有一些其余的规定
查看详情之后, 这里会看到具体的破绽信息
如上图所示, 这个提醒是说代码里用到了 system 函数, 而后就是解释这个函数为什么有相干平安危险.
查看依赖破绽
依赖破绽指的是 A 我的项目用到了 B 我的项目的代码, 如果 B 我的项目呈现破绽, 那么可能导致 A 我的项目也呈现,Swallow 的依赖破绽检测应用的是墨菲 SCA 工具, 如下图所示
开展详情页后, 能够看到依赖破绽的 CVE 编号
查看 WebShell
webshell 检测用的工具时河马, 这个工具目前会将可疑的文件列出来, 但不会犹太具体的信息
查看依赖组件
最初是依赖组件列表, 会将我的项目所依赖的组件都解析进去, 但这些信息只是辅助, 并不是说这些组件都存在平安问题.