一 背景
這個月的主要目標是檢驗蜻蜓的編排系統和最佳化,我基於蜻蜓開發dolphin的ASM系統,這兩週主要開發程式碼審計系統 swallow.
Swallow是一款開源的程式碼審計工具,其底層整合了多種靜態程式碼分析工具,如murphysec SCA、Fortify、SemGrep、Hema(Webshell檢測),透過蜻蜓安全的編排系統進行連線。同時上層UI使用了Bootstrap 5和ThinkPHP 6。
二 工具介紹
優點
支援多種靜態程式碼分析工具的整合,這意味著它可以更全面地發現程式碼中的潛在漏洞和安全問題。例如,murphysec SCA可以幫助開發人員發現常見的安全漏洞,如SQL隱碼攻擊和跨站指令碼攻擊;Fortify則可以發現更高階的漏洞,如緩衝區溢位和程式碼注入;而Hema和Webshell可以幫助發現Web應用程式中的Webshell和惡意程式碼。
使用蜻蜓安全的編排系統進行連線,這使得它更易於整合和使用。蜻蜓安全的編排系統可以將多個靜態程式碼分析工具組合在一起,並按照使用者的需求對其進行配置和管理。這使得Swallow可以輕鬆地掃描大量的程式碼,並在發現漏洞時提供有效的警告和建議。
的上層UI使用了Bootstrap 5和ThinkPHP 6,這使得它具有更好的可用性和易用性。Bootstrap是一種流行的前端框架,可以幫助開發人員快速建立漂亮、響應式的Web介面。而ThinkPHP是一種流行的PHP框架,可以幫助開發人員快速構建Web應用程式。Swallow的UI使用這兩種框架的組合,可以使得Swallow更易於使用,並提供更好的使用者體驗。
在安全工程師的角度來看,Swallow具有以下幾個優點。首先可以幫助安全工程師發現程式碼中的潛在漏洞和安全問題。這可以使得安全工程師更加全面地評估程式碼的安全性,並提供更有效的建議和措施。
自定義配置
Swallow支援自定義配置,可以根據使用者的需求對靜態程式碼分析工具進行配置和管理。這使得安全工程師可以根據實際情況來選擇合適的工具,並將它們整合在一起。
還支援自定義規則,可以幫助安全工程師根據自己的經驗和知識來定製規則,並將它們應用到靜態程式碼分析中。
擴充套件性
Swallow可以與其他工具和系統進行整合。例如,它可以與Jenkins等持續整合工具整合,實現自動化程式碼審計和漏洞檢測。此外還支援多語言,可以支援Java、PHP、Python等多種程式語言的程式碼審計。
工具開源
Swallow是一款開源的工具,可以幫助大家更好地瞭解程式碼審計的流程和技術。開源意味著Swallow的程式碼可以被公開檢視和修改,這使得安全工程師可以根據自己的需求和實際情況對其進行定製和擴充套件。同時可以吸引更多的開發者和安全研究人員參與其中,從而使得它的功能和效能得到不斷的提升和改進。
三 安裝方法
GitHub地址: https://github.com/StarCrossPortal/swallow
- 一鍵部署控制檯
docker-compose up -d
- 瀏覽器開啟地址:
http://xx.xx.xx.xx:1890/
使用方法
- 在設定中填寫蜻蜓配置,蜻蜓工作流模板為:http://qingting.starcross.cn/scenario/detail?id=2084
- 在設定中新增主域名
- 蜻蜓中點選執行工作流,或者設定工作流為週期執行
- 在swallow中檢視資料
四 總結
總之 Swallow 可以幫助大家發現程式碼中的潛在漏洞和安全問題。
整合了多種靜態程式碼分析工具,並使用蜻蜓安全的編排系統進行連線,使得掃描程式碼更加全面和高效。
I使用了Bootstrap 5和ThinkPHP 6,使得它具有更好的可用性和易用性。最重要的是,Swallow是一款開源的工具,可以幫助大家更好地瞭解程式碼審計的流程和技術,吸引更多的開發者和安全研究人員參與,不斷提升和改進其功能和效能。
注意: fortify商業版本預設不包含在swallow中,如果你已經有fortify,需要把fortify路徑填寫到配置裡面去
檢視原文,跳轉GitHub Swallow系統