FluidAttack
| 掃描工具 | Web |
Mobile |
Local |
API |
Extension |
Serverless |
操作說明 |
|---|---|---|---|---|---|---|---|
FluidAttacks Free & Open Source CLI |
運用 FluidAttack 開放原始碼 CLI,對應用程式執行自動靜態 (SAST) 掃描作業。已建立 Docker 映像檔,其中包含所有必要的 CWE。只要啟動容器,並在其中執行掃描指令即可。 |
如要瞭解各類型的定義,請按這裡
您可以按照下列步驟掃描網頁、行動或內部應用程式、瀏覽器擴充功能或無伺服器函式的原始碼:
-
建立資料夾來存放掃描的構件。
-
為資料夾命名,然後上傳 CASA 掃描 Dockerfile
-
複製這個資料夾中的應用程式存放區,然後在根資料夾中新增 config.yaml 檔案。您可以在下列位置找到這個檔案:config.yaml
-
最終設定應如下所示:
下列應用程式類型有額外的封裝注意事項。請遵循必要格式,以便掃描作業順利進行。
Android Studio 專案:AndroidManifest.xml 必須位在「app/src/main/AndroidManifest.xml」目錄中,且「app/src/main/java/」目錄必須存在。
-
設定檔 (config.yaml) 會指定掃描結果的儲存位置。預設值會顯示在這裡。
如果您要掃描原生 Android 應用程式,請在設定檔中更新下列項目,指定任何 APK 的位置:
apk:
# 說明:掃描 Android APK 的動態掃描。
包含:
-
app-arm-debug-Android.apk
-
app-arm-Android.apk
更新「include」參數,將目標 APK 的檔案路徑與 config.yaml 檔案的位置相對應。
-
output:
file_path: ./Fluid-Attacks-Results.csv
format: CSV
保留 CSV 格式,但您可以在 config.yaml 檔案中變更輸出內容的名稱。
-
請執行下列指令以建構 Docker 映像檔:
docker build -t casascan /path/to/Dockerfile
-
執行下列指令,啟動容器並啟動 Fluid SAST 掃描 (請注意,這項步驟需要一段時間才能完成):
docker run casascan m gitlab:fluidattacks/universe@trunk /skims scan {App Repo Name}/config.yaml
-
完成步驟 5 後,結果會儲存在應用程式存放區資料夾中的 CSV 檔案中。
-
掃描完成後,請執行 docker ps 並複製通訊埠值,取得容器的 ID
-
執行下列指令,將掃描結果複製到主機:
docker cp {Container ID}:/usr/scan/{App Repo Name}/Fluid-Attacks-Results.csv SAST-Results.csv