Linux中國

使用命令行工具 Graudit 來查找你代碼中的安全漏洞

測試是軟體開發生命周期(SDLC)的重要組成部分,它有幾個階段。今天,我想談談如何在代碼中發現安全問題。

在開發軟體的時候,你不能忽視安全問題。這就是為什麼有一個術語叫 DevSecOps,它的基本職責是識別和解決應用中的安全漏洞。有一些用於檢查 OWASP 漏洞的開源解決方案,它將通過創建源代碼的威脅模型來得出結果。

處理安全問題有不同的方法,如靜態應用安全測試(SAST)、動態應用安全測試(DAST)、互動式應用安全測試(IAST)、軟體組成分析等。

靜態應用安全測試在代碼層面運行,通過發現編寫好的代碼中的錯誤來分析應用。這種方法不需要運行代碼,所以叫靜態分析。

我將重點介紹靜態代碼分析,並使用一個開源工具進行實際體驗。

為什麼要使用開源工具檢查代碼安全?

選擇開源軟體、工具和項目作為開發的一部分有很多理由。它不會花費任何金錢,因為你使用的是一個由志趣相投的開發者社區開發的工具,而他們希望幫助其他開發者。如果你有一個小團隊或一個初創公司,找到開源軟體來檢查你的代碼安全是很好的。這樣可以讓你不必單獨僱傭一個 DevSecOps 團隊,讓你的成本降低。

好的開源工具總是考慮到靈活性,它們應該能夠在任何環境中使用,覆蓋儘可能多的情況。這讓開發人員更容易將該軟體與他們現有的系統連接起來。

但是有的時候,你可能需要一個功能,而這個功能在你選擇的工具中是不可用的。那麼你就可以選擇復刻其代碼,在其上開發自己的功能,並在你的系統中使用。

因為,大多數時候,開源軟體是由社區驅動的,開發的速度往往是該工具的用戶的加分項,因為他們會根據用戶的反饋、問題或 bug 報告來迭代項目。

使用 Graudit 來確保你的代碼安全

有各種開源的靜態代碼分析工具可供選擇,但正如你所知道的,工具分析的是代碼本身,這就是為什麼沒有通用的工具適用於所有的編程語言。但其中一些遵循 OWASP 指南,盡量覆蓋更多的語言。

在這裡,我們將使用 Graudit,它是一個簡單的命令行工具,可以讓我們找到代碼庫中的安全缺陷。它支持不同的語言,但有一個固定的簽名集。

Graudit 使用的 grep 是 GNU 許可證下的工具,類似的靜態代碼分析工具還有 Rough Auditing Tool for Security(RATS)、Securitycompass Web Application Analysis Tool(SWAAT)、flawfinder 等。但 Graudit 的技術要求是最低的,並且非常靈活。不過,你可能還是有 Graudit 無法滿足的要求。如果是這樣,你可以看看這個列表的其他的選擇。

我們可以將這個工具安裝在特定的項目下,或者全局命名空間中,或者在特定的用戶下,或者任何我們喜歡地方,它很靈活。我們先來克隆一下倉庫。

$ git clone https://github.com/wireghoul/graudit

現在,我們需要創建一個 Graudit 的符號鏈接,以便我們可以將其作為一個命令使用。

$ cd ~/bin && mkdir graudit
$ ln --symbolic ~/graudit/graudit ~/bin/graudit

.bashrc (或者你使用的任何 shell 的配置文件)中添加一個別名。

#------ .bashrc ---
alias graudit="~/bin/graudit"

重新載入 shell:

$ source ~/.bashrc # 或
$ exex $SHELL

讓我們通過運行這個來檢查是否成功安裝了這個工具。

$ graudit -h

如果你得到類似於這樣的結果,那麼就可以了。

![Graudit terminal screen showing help page](/data/attachment/album/202009/03/114101pd3zzp49p1jr9pmb.png "Graudit terminal screen showing help page")

圖 1 Graudit 幫助頁面

我正在使用我現有的一個項目來測試這個工具。要運行該工具,我們需要傳遞相應語言的資料庫。你會在 signatures 文件夾下找到這些資料庫。

$ graudit -d ~/gradit/signatures/js.db

我在現有項目中的兩個 JavaScript 文件上運行了它,你可以看到它在控制台中拋出了易受攻擊的代碼。

![JavaScript file showing Graudit display of vulnerable code](/data/attachment/album/202009/03/114108snbmb62ok4neu9un.png "JavaScript file showing Graudit display of vulnerable code")

![JavaScript file showing Graudit display of vulnerable code](/data/attachment/album/202009/03/114116l1hhrev4hqf5sz4v.png "JavaScript file showing Graudit display of vulnerable code")

你可以嘗試在你的一個項目上運行這個,項目本身有一個長長的資料庫列表,用於支持不同的語言。

Graudit 的優點和缺點

Graudit 支持很多語言,這使其成為許多不同系統上的用戶的理想選擇。由於它的使用簡單和語言支持廣泛,它可以與其他免費或付費工具相媲美。最重要的是,它們正在開發中,社區也支持其他用戶。

雖然這是一個方便的工具,但你可能會發現很難將某個特定的代碼識別為「易受攻擊」。也許開發者會在未來版本的工具中加入這個功能。但是,通過使用這樣的工具來關注代碼中的安全問題總是好的。

總結

在本文中,我只介紹了眾多安全測試類型中的一種:靜態應用安全測試。從靜態代碼分析開始很容易,但這只是一個開始。你可以在你的應用開發流水線中添加其他類型的應用安全測試,以豐富你的整體安全意識。

via: https://opensource.com/article/20/8/static-code-security-analysis

作者:Ari Noman 選題:lujun9972 譯者:geekpi 校對:wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的電子郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國