FluidAttack
| स्कैनिंग टूल | Web |
Mobile |
Local |
API |
Extension |
Serverless |
निर्देश |
|---|---|---|---|---|---|---|---|
FluidAttacks Free & Open Source CLI |
अपने ऐप्लिकेशन के लिए, ऑटोमेटेड स्टैटिक (एसएएसटी) स्कैन करने के लिए, FluidAttacks ओपन सोर्स सीएलआई का इस्तेमाल करें. सभी ज़रूरी CWE को शामिल करने के लिए, एक Docker इमेज बनाई गई है. बस कंटेनर को घुमाएं और उसमें स्कैन करने का निर्देश चलाएं. |
हर टाइप की परिभाषा के लिए
यहां क्लिक करें
अपने वेब, मोबाइल या इंटरनल ऐप्लिकेशन, ब्राउज़र एक्सटेंशन या सर्वरलेस फ़ंक्शन के सोर्स कोड को स्कैन करने के लिए, यह तरीका अपनाएं:
-
स्कैन किए गए आर्टफ़ैक्ट को सेव करने के लिए एक फ़ोल्डर बनाएं.
-
फ़ोल्डर को नाम दें और CASA स्कैन Dockerfile अपलोड करें
-
इस फ़ोल्डर में ऐप्लिकेशन रिपॉज़िटरी को क्लोन करें और रूट फ़ोल्डर में config.yaml फ़ाइल जोड़ें. यह फ़ाइल यहां मिल सकती है: config.yaml
-
फ़ाइनल सेटअप ऐसा दिखेगा:
नीचे दिए गए ऐप्लिकेशन टाइप के लिए, पैकेजिंग से जुड़ी कुछ और बातों का ध्यान रखना पड़ता है. सही तरीके से स्कैन करने के लिए, कृपया ज़रूरी फ़ॉर्मैट का पालन करें.
Android Studio प्रोजेक्ट: AndroidManifest.xml, ‘app/src/main/AndroidManifest.xml’ में होना चाहिए और डायरेक्ट्री ‘app/src/main/java/’ मौजूद होनी चाहिए.
-
कॉन्फ़िगरेशन फ़ाइल (config.yaml) से पता चलता है कि आपके स्कैन के नतीजे कहां सेव किए जाएंगे. डिफ़ॉल्ट वैल्यू यहां दिखाई गई हैं.
अगर किसी नेटिव Android ऐप्लिकेशन को स्कैन किया जा रहा है, तो कॉन्फ़िगरेशन फ़ाइल में इन चीज़ों को अपडेट करके, किसी भी APK की जगह बताएं:
apk:
# जानकारी: Android APKs का डाइनैमिक स्कैन.
इसमें शामिल हैं:
-
app-arm-debug-Android.apk
-
app-arm-Android.apk
अपनी config.yaml फ़ाइल की जगह के हिसाब से अपने टारगेट APK के फ़ाइल पाथ के साथ "शामिल करें" पैरामीटर को अपडेट करें.
-
output:
file_path: ./Fluid-Attacks-Results.csv
format: CSV
फ़ॉर्मैट को CSV के तौर पर रखें. हालांकि, config.yaml फ़ाइल में आउटपुट का नाम बदला जा सकता है.
-
यहां दिया गया कमांड चलाकर, Docker इमेज बनाएं:
docker build -t casascan /path/to/Dockerfile
-
कंटेनर शुरू करें और नीचे दिए गए कमांड को चलाकर Fluid SAST स्कैन शुरू करें (ध्यान दें कि यह चरण पूरा होने में कुछ समय लगेगा):
docker run casascan m gitlab:fluidattacks/universe@trunk /skims scan {App Repo Name}/config.yaml
-
पांचवां चरण पूरा होने के बाद, नतीजे आपके ऐप्लिकेशन के रिपॉज़िटरी फ़ोल्डर में मौजूद CSV फ़ाइल में सेव हो जाएंगे.
-
स्कैन पूरा होने के बाद, अपने कंटेनर का आईडी पाएं. इसके लिए, docker ps को चलाकर, पोर्ट की वैल्यू कॉपी करें
-
स्कैन के नतीजों को अपने होस्ट पर कॉपी करने के लिए, यह कमांड चलाएं:
docker cp {Container ID}:/usr/scan/{App Repo Name}/Fluid-Attacks-Results.csv SAST-Results.csv