最近在哔哩哔哩看 到Swallow 代码审计零碎的宣传,发现性能比拟适宜我目前的工作须要,装置应用了一下,简略做了一个笔记,分享给有须要的敌人.

底层架构为蜻蜓编排零碎,墨菲SCA,fortify,SemGrep,hema
我的项目地址:https://github.com/StarCrossPortal/swallow
装置与应用视频教程:https://www.bilibili.com/video/BV14h411V7m5/

增加仓库

装置过程我就不讲了,间接记录如何应用,以及成果吧.

首先须要在仓库列表,找到增加按钮,将Git仓库地址放进去,而后会主动增加到列表中

如上图所示,能够一次性增加多个仓库,每行一个仓库地址就行了

破绽治理

增加进去之后,等了5分钟,便扫出了一些后果,破绽治理这个列表进去的是fortify扫描进去的破绽,

点击查看详情,能看到污点参数的入口,还有执行的地位,如下图所示

fortify的报告是英文版本,不过也都是一些常见的词汇,用这到没啥影响.

查看危险函数

危险函数其实是通过semgrep实现的危险规定检测,比方当调用一些敏感函数,会在这里呈现;当然呈现的其实也不仅仅是危险的函数,可能还会有一些其余的规定

查看详情之后,这里会看到具体的破绽信息

如上图所示,这个提醒是说代码里用到了system函数,而后就是解释这个函数为什么有相干平安危险.

查看依赖破绽

依赖破绽指的是A我的项目用到了B我的项目的代码,如果B我的项目呈现破绽,那么可能导致A我的项目也呈现,Swallow的依赖破绽检测应用的是墨菲SCA工具,如下图所示

开展详情页后,能够看到依赖破绽的CVE编号

查看WebShell

webshell检测用的工具时河马,这个工具目前会将可疑的文件列出来,但不会犹太具体的信息

查看依赖组件

最初是依赖组件列表,会将我的项目所依赖的组件都解析进去,但这些信息只是辅助,并不是说这些组件都存在平安问题.