Пошаговое руководство по настройке и использованию NodeJsScan для SAST

Дата: 18.02.2021. Автор: Игорь Б. Категории: Статьи по информационной безопасности

В этой статье представлено пошаговое руководство по настройке и использованию NodeJsScan для SAST. Читатели смогут ознакомиться с практическим примером инсталляции программы.

NodeJsScan – это сканер статического кода, который используется для поиска недостатков безопасности в приложениях Node.js. Следует точно понимать, как можно применять NodeJsScan для SATS, если возникла такая необходимость.  

Установка, настройка и использование сканера NodeJsScan

  • Пользователь устанавливает Postgres и настраивает его (SQLALCHEMY_DATABASE_URL) в core/setting.py
  • Далее он скачивает пакет NodeJsScan из репозитория GitHub, перейдя по данной ссылке.

После этого нужно перейти в каталог NodeJsScan и установить все необходимые компоненты с помощью команды:

pip3 install –r requirements.txt
  • Следует выполнить данную команду (python3 migrate.py) один раз, чтобы создать необходимые записи в базе данных.
  • Команда «python3 app.py» выполняется для того, чтобы провести тестирование среды.
  • Установить gunicorn, необходимый для корректной работы NodeJsScan, можно с помощью команды «gunicorn –b 0.0.0.0:9090 app:app». Он нужен для производственной среды.

Этот инструмент будет запускать NodeJsScan по адресу: http://0.0.0.0:9090. Если нужно выполнить отладку, следует установить DEBUG на значение «True» в core/settings.py. При периодическом обновлении данного инструмента NodeJsScan имеет минимальное количество ложных срабатываний.

Интерфейс командной строки (CLI) NodeJsScan

Интерфейс командной строки («command line interface» или «CLI») дает возможность этому инструменту интегрироваться с конвейерами DevSecOps CI/CD. Результаты будут представлены пользователю в формате JSON.

Docker

Изображения Docker могут быть настроены для NodeJsScan с помощью следующих шагов:

  • Во-первых, нужно убедиться, что в системе установлен сам Docker.
  • Пользователь запускает службу Docker с помощью команды:
service docker start
  • Далее он выполняет следующую команду:
docker build -t nodejsscan
  • Затем, наконец, он вводит эту команду, чтобы запустить работу приложения:
docker run -it -p 9090:9090 nodejsscan

Демонстрация всего процесса на практическом примере

  • Пользователь протестировал этот инструмент на репозитории, содержащем неполный и уязвимый код.
  • Приложение NodeJsScan совместимо с файлами формата .zip, которые были в него загружены. Итак, сначала нужно сжать свой код .js в архив .zip, а затем открыть браузер и загрузить сжатый файл.
  • После загрузки zip-файла инструмент покажет пользователю список всех уязвимостей.

Автор переведенной статьи: Sudhansu Shekhar.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Игорь Б

Об авторе Игорь Б

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *