关于低代码:蜻蜓低代码安全工具平台开发之路

33次阅读

共计 2707 个字符,预计需要花费 7 分钟才能阅读完成。

一、背景

蜻蜓内测版在五一前夕上线了,很快就积攒的很多工具,用户数也逐步增多,但我也逐步发现这种沉积式的平台没太多技术含量;我在想是否能够做一些有挑战的事件,正好这几年低代码平台比拟炽热,我在想是否能在平安场景做一个低代码平台。

1.1 需要出发点

在平安行业中,咱们能够想到两类群体,开发大佬,和脚本小子;

开发大佬能力强,能够写出很厉害的工具,但一个人或者一个团队的精力究竟是无限的的,性能绝对繁多,很难做出相似想 AWVS 相似综合型工具;
每个团队开发进去的工具都在某一方面比拟好用,很难做到全方面,而且不会思考太多外置接口用于集成上下游;

而脚本的次要精力在于应用工具扫描到破绽,它们会收集各类型的工具,不过对一做红队或者 SRC 挖洞场景来说,一款工具根本不太可能满足本人的需要;

于是这天我突发奇想,能不能做一个平台,将各种工具连接起来,这样各种工具就不会零散,把大神开发的工具封装一个接口,让这些工具的数据流能串起来,并且尽可能适宜每一个人场景。

1.2 蜻蜓与 Soar

在市面上咱们能够看到很多平安相干的 soar 平台,soar 平台的重点是在于编排,蜻蜓也是编排,方向是统一的;

但蜻蜓和 soar 也有不一样的中央,是在于蜻蜓的组件反对在用户机器上运行,而惯例的 soar 平台利用场景大多是云平台运行,反对的场景根本是运维和经营场景;

为什么蜻蜓反对重度扫描呢?和蜻蜓的架构模式无关,惯例的 soar 平台根本是 saas 平台,蜻蜓除了 saas 外还须要增加工作节点;

蜻蜓的 SaaS 平台仅用于利用编排和控制台,节点作为工作真正执行的中央,因而无需思考用户规模大性能跟不上,执行节点和不在用户网络空间等诸多问题。

二、低代码平台的意义是什么?

2.1 打造本人的工作流

场景一:破绽检测

从指定网页中取得一批 URL(每次申请返回内容不同),检测 URL 是否存在 SQL 注入破绽,并将检测的破绽信息钉钉告诉到群里。

对于有开发教训的工程师来说,这个流程绝对简略,无非是写一个脚本,一直申请地址取得 URL,而后去除反复数据,再调用 SQLmap 进行检测,最初再写一个钉钉告诉事件;

然而实现起来其实还是要费不少工夫的,但他如果晓得蜻蜓平安平台能够这样来实现,心中预计会忍不住吐槽WC,还能这样实现!

在上图中能够看到,只须要拖动几个组件按钮,将必要的参数往上面填写即可;这个图的流程是先 获取 URL 内容 -> 对数据做过滤 -> 扫描器扫描 -> 钉钉告诉

前后可能不会超过五分钟工夫,就能够把需要做完。而且会发现这个图中,并不需要多少代码却能够让打造适宜本人的平安工具;

场景二:情报告诉

每天从一个网页中获取平安情报信息,并将信息中蕴含 反序列化 的信息发送到你的服务器。

那么编排的流程能够是这个样子,如下图所示

你须要提供破绽情报的 URL,大量筛选数据的Python 脚本, 你服务器的URL 地址,从图里在这里对于普通用户不便的是还是须要写 Python 脚本;

不过也不必太放心,咱们会将热门的数据过滤脚本间接封装成组件,这样用户能够间接拖动组件就行,那么只须要填写情报 URL 和服务器 URL 就能够实现了。

场景三:代码批量扫描

给你一批 Git 代码仓库地址,须要你对代码进行平安剖析,并将后果推送到指定地址

你能够构建这样一个流程图

首先应用 读取文件内容 组件读取仓库地址列表,应用 运行 Python 脚本 组件将代码拉取到本地,而后应用 墨菲代码扫描 组件进行扫描,最初应用 webhook 组件将后果进行告诉

这个外面的 Python 脚本,其实在晚一点工夫我会封装成一个组件,这样你会发现你并不需要编写代码,轻松构建了一个业务场景。

2.2 精力放在构建场景中

借助低代码平台,还有一个心愿是能帮忙开发者站在伟人的肩膀上,疾速的实现本人的需要,防止重复造轮子;

三、平台开发难点

蜻蜓低代码平台开发中会遇到一些和惯例利用开发所不同的难点,比如说各流程节点的通信问题、节点间的数据传递、数据传递;

3.1 组件间的通信

在蜻蜓低代码平台中,即心愿各组件节点之间互相隔离,又心愿它们可能通信;隔离是为了让每个组件节点可能更自在的编排,而通信的需要在于 B 节点须要在 A 节点执行结束之后才执行;

需要是有些矛盾的,然而却必须要做,因而在设计的时候我做了一个公共组件,所有的组件都能够与公共组件通信,来告知以后的执行状态,再由公共组件调度下一个组件的执行状态。

3.2 数据共享

蜻蜓的各节点数据是互相独立的,但一些场景下须要共享数据,比方代码审计场景下,节点 A 负责拉取代码到本地,节点 B 负责对代码进行扫描;

这些文件须要存储在文件系统中,蜻蜓各节点运行其实是基于 docker 容器,所以蜻蜓的解决方案是将宿主机某一个目录挂载到所有容器中,数据都存储在容器指定目录。

3.3 调试链路长

在开发的阶段咱们须要对每个组件进行单元测试,调试结束之后还须要进行组件间的联结调试,因为组件间的环境是隔离,所以调试程序过程十分繁琐

比如说咱们有一个场景用到了 A、B、C、D 四个节点,当运行后果没有达到预期的时候,你或者一下子就定位到是哪一个节点出现异常、但异样很有可能不是此节点自身造成的,而是上游节点数据自身所造成;

平台的组件可能来自于团队其他人,也有可能来自于社区,你可能没有方法一人独立解决,这就极大的消耗了开发工夫;

这里须要留神的是,每个组件的单元测试肯定要重复验证,在接管参数的时候也要严格验证,否则极其容易呈现此问题。

四、开发历程

低代码平台最重要的是让用户易懂,可能疾速上手,否则低代码平台的价值简直是不存在的。

为了让普通用户可能疾速上手,前端的交互体验显得分外重要,为了让用户了解数据的传递过程,低代码平台通常会应用流程图来展现数据流转,蜻蜓平安平台的流程图组件抉择的是 antv 的 Xflow

xflow 用的 typescript 语言开发,另外应用了 react,之前我的前端技能次要用 bootstrap 和 jQuery 实现,前端技术栈的跨度对我来说是最大的技术危险点

花了一周把 typescript 和 react 的根底教学学完了,第二周尝试本人独立用 react 写一个 todolist,再接着尝试写了一个订单评估性能,再逐步将后端数据管理性能搭了一个架子,再回过头来看 Xflow 根本能看懂大抵要怎么做了。

五、最初

蜻蜓的低代码平台目前还是一个雏形,性能组件还不够全面,随着工夫的推移和咱们的疾速开发,组件肯定会越加全面,总有一天会笼罩到你的应用场景。

蜻蜓平安平台地址:http://qingting.starcross.cn/

蜻蜓 GitHub 仓库地址:https://github.com/StarCrossP…


日期:2022 年 06 月 23 日

微信:songboy8888

作者:汤青松

正文完
 0