色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

干貨:使用命令行工具檢查代碼及確保代碼安全

如意 ? 來源:Linux中國 ? 作者:佚名 ? 2020-09-03 14:56 ? 次閱讀

憑借廣泛的語言支持,Graudit 可以讓你在開發過程中的審計你的代碼安全。

測試是軟件開發生命周期(SDLC)的重要組成部分,它有幾個階段。今天,我想談談如何在代碼中發現安全問題。

在開發軟件的時候,你不能忽視安全問題。這就是為什么有一個術語叫 DevSecOps,它的基本職責是識別和解決應用中的安全漏洞。有一些用于檢查 OWASP 漏洞的開源解決方案,它將通過創建源代碼的威脅模型來得出結果。

處理安全問題有不同的方法,如靜態應用安全測試(SAST)、動態應用安全測試(DAST)、交互式應用安全測試(IAST)、軟件組成分析等。

靜態應用安全測試在代碼層面運行,通過發現編寫好的代碼中的錯誤來分析應用。這種方法不需要運行代碼,所以叫靜態分析。

我將重點介紹靜態代碼分析,并使用一個開源工具進行實際體驗。

為什么要使用開源工具檢查代碼安全?

選擇開源軟件、工具和項目作為開發的一部分有很多理由。它不會花費任何金錢,因為你使用的是一個由志趣相投的開發者社區開發的工具,而他們希望幫助其他開發者。如果你有一個小團隊或一個初創公司,找到開源軟件來檢查你的代碼安全是很好的。這樣可以讓你不必單獨雇傭一個 DevSecOps 團隊,讓你的成本降低。

好的開源工具總是考慮到靈活性,它們應該能夠在任何環境中使用,覆蓋盡可能多的情況。這讓開發人員更容易將該軟件與他們現有的系統連接起來。

但是有的時候,你可能需要一個功能,而這個功能在你選擇的工具中是不可用的。那么你就可以選擇復刻其代碼,在其上開發自己的功能,并在你的系統中使用。

因為,大多數時候,開源軟件是由社區驅動的,開發的速度往往是該工具的用戶的加分項,因為他們會根據用戶的反饋、問題或 bug 報告來迭代項目。

使用 Graudit 來確保你的代碼安全

有各種開源的靜態代碼分析工具可供選擇,但正如你所知道的,工具分析的是代碼本身,這就是為什么沒有通用的工具適用于所有的編程語言。但其中一些遵循 OWASP 指南,盡量覆蓋更多的語言。

在這里,我們將使用 Graudit,它是一個簡單的命令行工具,可以讓我們找到代碼庫中的安全缺陷。它支持不同的語言,但有一個固定的簽名集。

Graudit 使用的 grep 是 GNU 許可證下的工具,類似的靜態代碼分析工具還有 Rough Auditing Tool for Security(RATS)、Securitycompass Web Application Analysis Tool(SWAAT)、flawfinder 等。但 Graudit 的技術要求是最低的,并且非常靈活。不過,你可能還是有 Graudit 無法滿足的要求。如果是這樣,你可以看看這個列表的其他的選擇。

我們可以將這個工具安裝在特定的項目下,或者全局命名空間中,或者在特定的用戶下,或者任何我們喜歡地方,它很靈活。我們先來克隆一下倉庫。

$ git clone https://github.com/wireghoul/graudit

現在,我們需要創建一個 Graudit 的符號鏈接,以便我們可以將其作為一個命令使用。

$ cd ~/bin && mkdir graudit

$ ln --symbolic ~/graudit/graudit ~/bin/graudit

在 .bashrc (或者你使用的任何 shell 的配置文件)中添加一個別名。

#------ .bashrc ------

alias graudit=“~/bin/graudit”

重新加載 shell:

$ source ~/.bashrc # 或

$ exex $SHELL

讓我們通過運行這個來檢查是否成功安裝了這個工具。

$ graudit -h

如果你得到類似于這樣的結果,那么就可以了。

我正在使用我現有的一個項目來測試這個工具。要運行該工具,我們需要傳遞相應語言的數據庫。你會在 signatures 文件夾下找到這些數據庫。

$ graudit -d ~/gradit/signatures/js.db

我在現有項目中的兩個 JavaScript 文件上運行了它,你可以看到它在控制臺中拋出了易受攻擊的代碼。

JavaScript file showing Graudit display of vulnerable code

JavaScript file showing Graudit display of vulnerable code

你可以嘗試在你的一個項目上運行這個,項目本身有一個長長的數據庫列表,用于支持不同的語言。

Graudit 的優點和缺點

Graudit 支持很多語言,這使其成為許多不同系統上的用戶的理想選擇。由于它的使用簡單和語言支持廣泛,它可以與其他免費或付費工具相媲美。最重要的是,它們正在開發中,社區也支持其他用戶。

雖然這是一個方便的工具,但你可能會發現很難將某個特定的代碼識別為“易受攻擊”。也許開發者會在未來版本的工具中加入這個功能。但是,通過使用這樣的工具來關注代碼中的安全問題總是好的。

總結

在本文中,我只介紹了眾多安全測試類型中的一種:靜態應用安全測試。從靜態代碼分析開始很容易,但這只是一個開始。你可以在你的應用開發流水線中添加其他類型的應用安全測試,以豐富你的整體安全意識。
責編AJX

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • Linux
    +關注

    關注

    87

    文章

    11312

    瀏覽量

    209695
  • 源代碼
    +關注

    關注

    96

    文章

    2945

    瀏覽量

    66773
  • 命令行
    +關注

    關注

    0

    文章

    77

    瀏覽量

    10400
收藏 人收藏

    評論

    相關推薦

    在STM32實現命令行

    工作中的開發環境都是基于linux命令行交互,作為命令行的重度使用者,玩單片機也要使用命令行工具,百度了一些命令行
    發表于 12-09 11:32 ?2438次閱讀

    Linux命令行工具

    Linux 新手往往對命令行心存畏懼。部分原因是因為需要記憶大量的命令,畢竟掌握命令是高效使用命令行的前提不幸的是,學習這些命令并無捷徑,
    發表于 07-25 08:10

    openssl無法使用命令行生成CMAC怎么解決?

    我正在嘗試生成應用程序代碼的離線 CMAC 以實現安全啟動。我曾嘗試使用 openssl,但無法使用命令行生成 CMAC。是否有任何工具可以生成應用程序
    發表于 03-30 06:35

    用命令行管理IIS的FTP站點

    用命令行管理IIS的FTP站點   為了實現在Internet中快速共享網絡資源的目的,很多用戶使用IIS服務器內置的FTP組件架設FTP服務器。
    發表于 01-30 17:25 ?958次閱讀

    Xilinx軟件命令行工具:XSCT開發和調試

    了解如何使用XSCT,Xilinx軟件命令行工具進行開發和調試。 該視頻演示了XSCT如何充當Xilinx SDK的命令行控制臺。
    的頭像 發表于 11-21 06:02 ?1.4w次閱讀

    Xilinx軟件命令行工具進行開發和調試

    了解如何使用XSCT,Xilinx軟件命令行工具進行開發和調試。 該視頻演示了XSCT如何充當Xilinx SDK的命令行控制臺。
    的頭像 發表于 11-22 06:53 ?6726次閱讀

    Git常見的誤區和命令行工具等綜述

    Git常見的誤區和命令行工具等綜述
    發表于 08-31 09:51 ?0次下載

    如何從命令行獲取和解析參數

    這是一篇技術干貨快文,能夠快速閱讀完。文章內容是關于如何從命令行獲取和解析參數,包括SystemVerilog本身支持的系統函數和UVM提供的函數封裝,并給出示例代碼和仿真結果。
    的頭像 發表于 05-30 14:05 ?2983次閱讀

    Golang基于flag庫實現一個命令行工具

    Golang 標準庫中的 flag 庫提供了解析命令行選項的能力,我們可以基于此來開發命令行工具
    的頭像 發表于 10-28 09:26 ?1307次閱讀

    新的開源命令行工具west

    電子發燒友網站提供《新的開源命令行工具west.zip》資料免費下載
    發表于 11-11 09:25 ?0次下載
    新的開源<b class='flag-5'>命令行</b><b class='flag-5'>工具</b>west

    如何使用命令行在Linux中查找文件?

    終端,命令行提供了幾個用于搜索文件的工具,包括查找、定位、grep 和 where is,僅舉幾例。 那么如何使用命令行在Linux中查找文件?在Linux中查找文件的12 種方法: 1、查找
    的頭像 發表于 03-23 14:55 ?4263次閱讀

    用命令行工具ADB(Android Debug Bridge)常見的ADB命令

    ADB(Android Debug Bridge)是一種通用命令行工具,可以讓您通過計算機與設備通信。
    的頭像 發表于 11-05 11:26 ?1582次閱讀

    pycharm命令行終端運行代碼

    Python是一種非常流行的編程語言,許多開發者使用它來編寫各種應用程序和腳本。為了方便開發者編寫和測試代碼,PyCharm是一種集成開發環境(IDE),它提供了許多功能和工具,其中包括命令行終端
    的頭像 發表于 11-22 11:20 ?4944次閱讀

    eclipse怎么使用命令行

    命令行中使用Eclipse來完成一些特定的任務。本文將詳細介紹如何在命令行中使用Eclipse。 首先,我們需要確保已經正確安裝了JDK(Java Development Kit)和Eclipse
    的頭像 發表于 12-06 11:26 ?2697次閱讀

    HarmonyOS開發:【基于命令行(安裝庫和工具集)】

    使用命令行進行設備開發時,可以通過以下步驟安裝編譯OpenHarmony需要的庫和工具
    的頭像 發表于 04-25 21:03 ?435次閱讀
    HarmonyOS開發:【基于<b class='flag-5'>命令行</b>(安裝庫和<b class='flag-5'>工具</b>集)】
    主站蜘蛛池模板: 免费xxx成年大片| 亚洲第一综合天堂另类专| 在线观看视频一区| 考试考90就可以晚上和老师C| 在线视频一区二区三区在线播放| 门事件快播| 囯产少妇BBBBBB高潮喷水一| 亚洲国产高清在线观看视频| 久久热这里面只有精品| 爱爱好爽好大好紧视频| 小小水蜜桃视频高清在线播放| 久久精品AV麻豆| 电影 qvod| 永久免费看bbb| 日本一卡精品视频免费| 交video| 办公室日本肉丝OL在线| 亚洲精品乱码久久久久久直播| 男人把女人桶到爽免费看视频| 国产欧美一区二区三区免费| 99久久国产露脸精品麻豆| 亚洲不卡视频在线观看| 欧美性xxxxxx爱| 九九夜夜妹子| 国产成人精品在视频| 一二三四在线观看韩国| 色姣姣狠狠撩综合网| 久久学生精品国产自在拍| 国产精华av午夜在线观看| 99国产福利| 一本之道高清在线观看一区| 三级黃60分钟| 免费啪视频观试看视频| 国产一区二区三区影院| 成年人视频在线免费播放| 正在播放国产精品| 午夜伦午夜伦锂电影| 泡妞高手在都市免费观看| 久久黄色网| 含羞草在线免费观看| 高h 大尺度纯肉 np快穿|