روشهای اسکن استاتیک

FluidAttack

ابزار اسکن Web Mobile Local API Extension Serverless دستورالعمل ها
FluidAttacks Free & Open Source CLI

از CLI منبع باز FluidAttacks برای انجام اسکن های استاتیک خودکار (SAST) در برابر برنامه شما استفاده کنید. یک تصویر Docker ایجاد شده است که شامل تمام CWE های ضروری است. به سادگی ظرف را بچرخانید و دستور اسکن را در آن اجرا کنید.

برای تعریف هر نوع اینجا را کلیک کنید انواع برنامه

اسکن کد منبع برنامه های کاربردی وب، تلفن همراه یا داخلی، برنامه های افزودنی مرورگر یا عملکردهای بدون سرور را می توان با طی مراحل زیر انجام داد:

  1. پوشه ای ایجاد کنید که حاوی آرتیفکت های اسکن شود.

  2. پوشه را نامگذاری کنید و Dockerfile اسکن CASA را آپلود کنید

  3. مخزن برنامه را در این پوشه کلون کنید و فایل config.yaml را در پوشه root اضافه کنید. این فایل را می توانید در اینجا پیدا کنید: config.yaml

  4. تنظیم نهایی باید به این صورت ظاهر شود:

    فهرست پوشه اسکن CASA

    انواع کاربردهای زیر ملاحظات بسته بندی اضافی دارند. لطفا فرمت لازم را برای اسکن موفقیت آمیز دنبال کنید.

    پروژه‌های Android Studio : AndroidManifest.xml باید در «app/src/main/AndroidManifest.xml» قرار داشته باشد و دایرکتوری «app/src/main/java/» باید وجود داشته باشد.

  1. فایل پیکربندی (config.yaml) محل ذخیره نتایج اسکن شما را مشخص می کند. مقادیر پیش فرض در اینجا نشان داده شده است.

    اگر یک برنامه اندرویدی بومی را اسکن می‌کنید، مکان هر فایل APK را با به‌روزرسانی موارد زیر در فایل پیکربندی مشخص کنید:

    apk:

    # توضیحات: اسکن پویا از APK های اندروید.

    شامل:

    • app-arm-debug-Android.apk

    • app-arm-Android.apk

    پارامترهای "شامل" را با مسیرهای فایل به APKهای مورد نظر خود نسبت به محل فایل config.yaml خود به روز کنید. 

      output:
      file_path: ./Fluid-Attacks-Results.csv
      format: CSV

قالب را به صورت CSV نگه دارید، اما با خیال راحت نام خروجی را در فایل config.yaml تغییر دهید.

  1. با اجرای دستور زیر، تصویر داکر را بسازید: 

      docker build -t casascan /path/to/Dockerfile

  1. ظرف را راه اندازی کنید و با اجرای دستور زیر یک اسکن Fluid SAST را شروع کنید (توجه داشته باشید که تکمیل این مرحله کمی طول می کشد): 

      docker run casascan m gitlab:fluidattacks/universe@trunk /skims scan {App Repo Name}/config.yaml

  1. پس از تکمیل مرحله 5، نتایج در یک فایل CSV در پوشه مخزن برنامه شما ذخیره می شود.

  2. پس از اتمام اسکن، با اجرای docker ps و کپی کردن مقدار پورت، شناسه کانتینر خود را دریافت کنید

  3. با اجرای دستور زیر نتایج اسکن را در هاست خود کپی کنید: 

      docker cp {Container ID}:/usr/scan/{App Repo Name}/Fluid-Attacks-Results.csv SAST-Results.csv