流体攻撃
| スキャンツール | Web |
Mobile |
Local |
API |
Extension |
Serverless |
手順 |
|---|---|---|---|---|---|---|---|
FluidAttacks Free & Open Source CLI |
FluidAttacks オープンソース CLI を活用して、アプリケーションに対して自動静的(SAST)スキャンを実行します。Docker イメージが作成され、必要なすべての CWE が含まれています。コンテナをスピンアップして、その中のスキャン コマンドを実行するだけで済みます。 |
それぞれのタイプの定義については、こちらをクリックしてください。
ウェブ アプリケーション、モバイルアプリ、内部アプリケーション、ブラウザの拡張機能、サーバーレス関数のソースコードのスキャンは、次の手順で行うことができます。
-
スキャン アーティファクトを格納するフォルダを作成します。
-
フォルダに名前を付け、CASA スキャン Dockerfile をアップロードします。
-
このフォルダ内にアプリケーション リポジトリのクローンを作成し、ルートフォルダ内に config.yaml ファイルを追加します。このファイルは次の場所にあります。 config.yaml
-
最終セットアップは次のように表示されます。
以下のアプリケーション タイプには、パッケージ化に関するその他の考慮事項があります。スキャンを成功させるために必要な形式に従ってください。
Android Studio プロジェクト: AndroidManifest.xml は「app/src/main/AndroidManifest.xml」に配置され、「app/src/main/java/」というディレクトリが存在する必要があります。
-
構成ファイル(config.yaml)は、スキャン結果の保存場所を指定します。以下にデフォルト値を示します。
ネイティブの Android アプリをスキャンする場合は、構成ファイル内で次のように更新して APK の場所を指定します。
apk:
# 説明: Android APK の動的スキャン。
次を含める:
-
app-arm-debug-Android.apk
-
app-arm-Android.apk
include パラメータに、対象の APK へのファイルパスを config.yaml ファイルの場所への相対パスで更新します。
-
output:
file_path: ./Fluid-Attacks-Results.csv
format: CSV
Keep the format as CSV, but feel free to change the name of the output within the config.yaml file.
-
Build the docker image by running the below command:
docker build -t casascan /path/to/Dockerfile
-
次のコマンドを実行して、コンテナを起動し、Fluid SAST スキャンを開始します(この手順には時間がかかります)。
docker run casascan m gitlab:fluidattacks/universe@trunk /skims scan {App Repo Name}/config.yaml
-
ステップ 5 が完了すると、結果がアプリケーション リポジトリ フォルダ内の CSV ファイルに保存されます。
-
スキャンが完了したら、docker ps を実行してコンテナ ID を取得し、ポート値をコピーします。
-
次のコマンドを実行して、スキャン結果をホストにコピーします。
docker cp {Container ID}:/usr/scan/{App Repo Name}/Fluid-Attacks-Results.csv SAST-Results.csv