代码审计

最近在哔哩哔哩看 到Swallow 代码审计零碎的宣传,发现性能比拟适宜我目前的工作须要,装置应用了一下,简略做了一个笔记,分享给有须要的敌人. 底层架构为蜻蜓编排零碎,墨菲SCA,fortify,SemGrep,hema我的项目地址:https://github.com/StarCrossPortal/swallow装置与应用视频教程:https://www.bilibili.com/video/BV14h411V7m5/增加仓库装置过程我就不讲了,间接记录如何应用,以及成果吧. 首先须要在仓库列表,找到增加按钮,将Git仓库地址放进去,而后会主动增加到列表中 如上图所示,能够一次性增加多个仓库,每行一个仓库地址就行了 破绽治理增加进去之后,等了5分钟,便扫出了一些后果,破绽治理这个列表进去的是fortify扫描进去的破绽, 点击查看详情,能看到污点参数的入口,还有执行的地位,如下图所示 fortify的报告是英文版本,不过也都是一些常见的词汇,用这到没啥影响. 查看危险函数危险函数其实是通过semgrep实现的危险规定检测,比方当调用一些敏感函数,会在这里呈现;当然呈现的其实也不仅仅是危险的函数,可能还会有一些其余的规定 查看详情之后,这里会看到具体的破绽信息如上图所示,这个提醒是说代码里用到了system函数,而后就是解释这个函数为什么有相干平安危险. 查看依赖破绽依赖破绽指的是A我的项目用到了B我的项目的代码,如果B我的项目呈现破绽,那么可能导致A我的项目也呈现,Swallow的依赖破绽检测应用的是墨菲SCA工具,如下图所示 开展详情页后,能够看到依赖破绽的CVE编号 查看WebShellwebshell检测用的工具时河马,这个工具目前会将可疑的文件列出来,但不会犹太具体的信息 查看依赖组件最初是依赖组件列表,会将我的项目所依赖的组件都解析进去,但这些信息只是辅助,并不是说这些组件都存在平安问题.