FluidAttack
| Alat Pemindaian | Web |
Mobile |
Local |
API |
Extension |
Serverless |
Petunjuk |
|---|---|---|---|---|---|---|---|
FluidAttacks Free & Open Source CLI |
Manfaatkan CLI open source FluidAttacks untuk melakukan pemindaian statis otomatis (SAST) terhadap aplikasi Anda. Image Docker telah dibuat untuk menyertakan semua CWE yang diperlukan. Cukup jalankan penampung dan jalankan perintah pemindaian di dalamnya. |
Untuk mengetahui definisi setiap jenis
Klik di sini
Pemindaian kode sumber Aplikasi Web, Seluler, atau Internal, Ekstensi Browser, atau Fungsi Serverless dapat dijalankan dengan mengikuti langkah-langkah berikut:
-
Buat folder untuk menyimpan artefak pemindaian.
-
Beri nama folder tersebut dan upload Dockerfile pemindaian CASA
-
Clone repositori aplikasi dalam folder ini dan tambahkan file config.yaml di dalam folder root. File ini dapat ditemukan di sini: config.yaml
-
Penyiapan akhir akan terlihat seperti ini:
Jenis aplikasi berikut memiliki pertimbangan pengemasan tambahan. Harap ikuti format yang diperlukan agar pemindaian berhasil.
Project Android Studio: AndroidManifest.xml harus berada di 'app/src/main/AndroidManifest.xml' dan direktori 'app/src/main/java/' harus ada.
-
File konfigurasi (config.yaml) menentukan tempat hasil pemindaian Anda akan disimpan. Nilai default ditampilkan di sini.
Jika Anda memindai aplikasi Android native, tentukan lokasi APK apa pun dengan mengupdate kode berikut dalam file konfigurasi:
apk:
# Deskripsi: pemindaian dinamis APK Android.
termasuk:
-
app-arm-debug-Android.apk
-
app-arm-Android.apk
Perbarui parameter “include” dengan jalur file ke APK target Anda yang relatif terhadap lokasi file config.yaml.
-
output:
file_path: ./Fluid-Attacks-Results.csv
format: CSV
Tetapkan format sebagai CSV, tetapi jangan ragu untuk mengubah nama output dalam file config.yaml.
-
Bangun image Docker dengan menjalankan perintah di bawah:
docker build -t casascan /path/to/Dockerfile
-
Mulai penampung dan mulai pemindaian SAST Fluid dengan menjalankan perintah di bawah (perhatikan bahwa langkah ini akan memerlukan waktu beberapa saat untuk diselesaikan):
docker run casascan m gitlab:fluidattacks/universe@trunk /skims scan {App Repo Name}/config.yaml
-
Setelah Langkah 5 selesai, hasilnya akan disimpan dalam file CSV dalam folder repositori aplikasi Anda.
-
Setelah pemindaian selesai, dapatkan ID penampung dengan menjalankan docker ps dan menyalin nilai port
-
Salin hasil pemindaian ke host Anda dengan menjalankan perintah di bawah:
docker cp {Container ID}:/usr/scan/{App Repo Name}/Fluid-Attacks-Results.csv SAST-Results.csv