FluidAttack
| Strumento di scansione | Web |
Mobile |
Local |
API |
Extension |
Serverless |
Istruzioni |
|---|---|---|---|---|---|---|---|
FluidAttacks Free & Open Source CLI |
Sfrutta la CLI open source FluidAttacks per eseguire scansioni statiche automatiche (SAST) della tua applicazione. È stata creata un'immagine Docker per includere tutti gli elementi CWE necessari. Basta avviare il contenitore ed eseguire il comando di scansione al suo interno. |
Per la definizione di ogni tipo
Fai clic qui
Puoi eseguire una scansione del codice sorgente delle tue applicazioni web, per dispositivi mobili o interne, delle estensioni del browser o delle funzioni serverless seguendo questi passaggi:
-
Crea una cartella per contenere gli elementi della scansione.
-
Assegna un nome alla cartella e carica il Dockerfile di scansione CASA
-
Clona il repository dell'applicazione in questa cartella e aggiungi il file config.yaml nella cartella principale. Questo file è disponibile qui: config.yaml
-
La configurazione finale dovrebbe essere simile alla seguente:
I seguenti tipi di applicazioni richiedono considerazioni aggiuntive sul packaging. Segui il formato necessario per una scansione riuscita.
Progetti Android Studio: il file AndroidManifest.xml deve trovarsi in "app/src/main/AndroidManifest.xml" e la directory "app/src/main/java/" deve esistere.
-
Il file di configurazione (config.yaml) specifica dove verranno memorizzati i risultati della scansione. I valori predefiniti sono mostrati qui.
Se stai eseguendo la scansione di un'applicazione Android nativa, specifica la posizione di eventuali APK aggiornando quanto segue nel file di configurazione:
apk:
# Descrizione: scansione dinamica degli APK Android.
include:
-
app-arm-debug-Android.apk
-
app-arm-Android.apk
Aggiorna i parametri "include" con i percorsi dei file degli APK di destinazione in relazione alla posizione del file config.yaml.
-
output:
file_path: ./Fluid-Attacks-Results.csv
format: CSV
Mantieni il formato CSV, ma non esitare a modificare il nome dell'output all'interno del file config.yaml.
-
Crea l'immagine Docker eseguendo il comando seguente:
docker build -t casascan /path/to/Dockerfile
-
Avvia il contenitore e avvia una scansione SAST di Fluid eseguendo il comando riportato di seguito (tieni presente che questo passaggio richiederà un po' di tempo):
docker run casascan m gitlab:fluidattacks/universe@trunk /skims scan {App Repo Name}/config.yaml
-
Al termine del passaggio 5, i risultati verranno archiviati in un file CSV all'interno della cartella del repository dell'applicazione.
-
Al termine della scansione, ottieni l'ID del container eseguendo docker ps e copiando il valore della porta
-
Copia i risultati della scansione nel tuo host eseguendo il comando seguente:
docker cp {Container ID}:/usr/scan/{App Repo Name}/Fluid-Attacks-Results.csv SAST-Results.csv