Найти в Дзене
CISOCLUB - информационная безопасность
8397 подписчиков

Пошаговое руководство по настройке и использованию NodeJsScan для SAST

47
2 мин
Оглавление

В этой статье представлено пошаговое руководство по настройке и использованию NodeJsScan для SAST. Читатели смогут ознакомиться с практическим примером инсталляции программы.

NodeJsScan – это сканер статического кода, который используется для поиска недостатков безопасности в приложениях Node.js. Следует точно понимать, как можно применять NodeJsScan для SATS, если возникла такая необходимость.

Установка, настройка и использование сканера NodeJsScan

  • Пользователь устанавливает Postgres и настраивает его (SQLALCHEMY_DATABASE_URL) в core/setting.py
  • Далее он скачивает пакет NodeJsScan из репозитория GitHub, перейдя по данной ссылке.
-2

После этого нужно перейти в каталог NodeJsScan и установить все необходимые компоненты с помощью команды:

pip3 install –r requirements.txt

-3
  • Следует выполнить данную команду (python3 migrate.py ) один раз, чтобы создать необходимые записи в базе данных.
  • Команда «python3 app.py » выполняется для того, чтобы провести тестирование среды.
  • Установить gunicorn, необходимый для корректной работы NodeJsScan, можно с помощью команды «gunicorn –b 0.0.0.0:9090 app:app ». Он нужен для производственной среды.
-4

Этот инструмент будет запускать NodeJsScan по адресу: http://0.0.0.0:9090 . Если нужно выполнить отладку, следует установить DEBUG на значение «True» в core/settings.py. При периодическом обновлении данного инструмента NodeJsScan имеет минимальное количество ложных срабатываний.

-5

Интерфейс командной строки (CLI) NodeJsScan

Интерфейс командной строки («command line interface» или «CLI») дает возможность этому инструменту интегрироваться с конвейерами DevSecOps CI/CD. Результаты будут представлены пользователю в формате JSON.

-6

Docker

Изображения Docker могут быть настроены для NodeJsScan с помощью следующих шагов:

  • Во-первых, нужно убедиться, что в системе установлен сам Docker.
  • Пользователь запускает службу Docker с помощью команды:

service docker start

  • Далее он выполняет следующую команду:

docker build -t nodejsscan

  • Затем, наконец, он вводит эту команду, чтобы запустить работу приложения:

docker run -it -p 9090:9090 nodejsscan

Демонстрация всего процесса на практическом примере

  • Пользователь протестировал этот инструмент на репозитории, содержащем неполный и уязвимый код.
  • Приложение NodeJsScan совместимо с файлами формата .zip, которые были в него загружены. Итак, сначала нужно сжать свой код .js в архив .zip, а затем открыть браузер и загрузить сжатый файл.
  • После загрузки zip-файла инструмент покажет пользователю список всех уязвимостей.
-7
-8

Автор переведенной статьи: Sudhansu Shekhar.

ЧИТАТЬ ВСЕ СТАТЬИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ

Взгляните на эти темы
Гаджеты и электроника
IT (информационные технологии)
Найти тему
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Социальные сети и мессенджеры
Языки программирования
Веб-разработка
Мобильная разработка
Разработка игр
Гаджеты и электроника
5,73 млн интересуются