首页 > 其他分享 >代码审计系统 Swallow 开发回顾

代码审计系统 Swallow 开发回顾

时间:2023-04-03 14:14:15浏览次数:56  
标签:审计 需要 回顾 代码 漏洞 fortify 组件 Swallow 工具

做甲方安全建设,SDL是一个离不开的话题,其中就包含代码审计工作,我从最开始使用编辑器自带的查找,到使用fortify工具,再到后来又觉得fortify的扫描太慢影响审计效率,再后来就想着把fortify集成到自己的业务系统中去

最近几年安全行业发展的很快,以前少见的组件安全产品也多了起来,可以自定义扫描规则的semgrep,还有GitHub的以及codeQL产品,工具越来越多,如果还是之前的单个工具打开模式效率也不会太高.所以想着干脆做一个代码聚合的审计系统

项目地址: https://github.com/StarCrossPortal/swallow

整体开发思路

当我需要审计某一个项目的时候只需要将代码地址存放进去,然后这个系统就会自动下载代码,并调用各种代码审计工具进行扫描,并将结果存储到系统中去.

这里包含了部分内容,第一部分是底层代码扫描的实现,数据库的设计,上层UI的展示

底层实现

swallow在开发之前我给他的定义是一个效率系统,因此他只是调用其他工具的结果,然后进行聚合展示.那么我就需要考虑用那些工具了.

这里我有四点需求,分别是污点跟踪,安全规则检索,组件依赖漏洞,WebShell检测

污点跟踪

首先说下污点跟踪,他需要了解我的程序参数接收位置,然后参数在什么地方执行,满足需求的这种产品并不多,知名的有fortify,checkmax,这里我选择了调用fortify代码审计系统.


规则检索

一些结合业务方面的漏洞,可能需要编写对应检查规则,因此需要选择一个比较容易自定义规则的代码扫描器,有两种选择 semgrep和CodeQL,个人认为semgrep更加简单易用,因此选择了它


组件漏洞

组件漏洞主要是解决了项目A依赖了项目B,项目B产生了漏洞的情况,现在市面上挺多这种工具,我选择了墨菲.

WebShell

webshell 扫描主要是解决大量代码文件里可能存在木马的情况,用的是河马的webshell检测工具

有了这四大工具,我基本就可以对代码进行比较全面的检测了,但是数据的整体交互逻辑,以及数据格式我还需要梳理,为了简化这个过程,我直接使用了蜻蜓平台的编排系统,这样我基本不用写太多数据交互代码了,直接可视化拖拽,然后关注每个节点的情况即可.

数据可以直接使用蜻蜓安全工作台中的数据库组件,满足了数据的增删改查

数据库设计

数据库设计我采用了最省事的办法,首先我需要有一个表存放Git的仓库地址,因此新建了一张git_add表,另外系统还需要一些配置,因此新建了一张project_conf表格,如下图所示

现在需要考虑用到四个工具结果数据存放问题,因此我最开始新建了4张数据表,但后来发现5张表更加合适,如下图所示

因为墨菲代码扫描方面,他的结果稍微需要区别一下,他的结构是一个二维数组,这样不利于数据库检索,因此我将墨菲的表结构一分为二,因此有两个表结构

前端UI

前端UI本想采用element的UI框架,但这个项目只有我一个人开发,而且项目本身也比较简单,直接套模板更加省事.

所以使用了bootstrap5 结合thinkPHP6 开发出来

效果图如下所示

添加仓库

安装过程我就不讲了,直接记录如何使用,以及效果吧.

首先需要在仓库列表,找到添加按钮,将Git仓库地址放进去,然后会自动添加到列表中

如上图所示,可以一次性添加多个仓库,每行一个仓库地址就行了

查看依赖漏洞

查看WebShell

查看依赖组件

作者: 汤青松

日期: 2023-04-03

标签:审计,需要,回顾,代码,漏洞,fortify,组件,Swallow,工具
From: https://www.cnblogs.com/tangqingsong/p/17282883.html

相关文章

  • 上周热点回顾(3.27-4.2)
    热点随笔:· 微软NewBingAI申请与使用保姆级教程(免魔法) (彭旭锐)· 【故障公告】下班前的一场暴风雨,爬虫爬至园宕机 (博客园团队)· 我试图通过这篇文章,教会你一种阅读源码的方式。 (why技术)· 亿万级分库分表后如何进行跨表分页查询 (Ron.Liang)· ChatGPT与码农的......
  • java面向对象编程-方法回顾
    方法回顾和加深方法的定义修饰符返回类型方法名:注意规范,见名知意参数列表:参数类型参数名异常抛出:后面讲解  方法的调用静态方法非静态方法形参和实参值传递和引用传递this关键字    ......
  • 直播回顾 | 点击率提升400%,Ta是怎么做到的?
    Discovery第18期直播已于3月30日圆满结束,本期直播邀请天眼查做客直播间,从天眼查与华为Push用户增长服务合作历程切入,聚焦用户增长,分享提升应用活跃度和渠道ROI的经验与见解。一起来回顾本期精彩内容吧!【精彩对话】Q1:天眼查为什么选择华为Push用户增长服务实现拉新、促活和转......
  • 开源 Swallow 代码审计系统体验
    最近在哔哩哔哩看到Swallow代码审计系统的宣传,发现功能比较适合我目前的工作需要,安装使用了一下,简单做了一个笔记,分享给有需要的朋友.底层架构为蜻蜓编排系统,墨菲SCA......
  • 开源 Swallow 代码审计系统体验
    最近在哔哩哔哩看到Swallow代码审计系统的宣传,发现功能比较适合我目前的工作需要,安装使用了一下,简单做了一个笔记,分享给有需要的朋友.底层架构为蜻蜓编排系统,墨菲......
  • Linux报错:audit: backlog limit exceeded(审计:超出积压限制)
    Linux报错:audit:backloglimitexceeded(审计:超出积压限制)系统版本:CentOSLinuxrelease7.6.1810(Core)问题现象:一次巡检中发现业务系统打不开,对应的Linux服务器ssh连......
  • 马哥课程回顾-Linux基础
    1查看cpulscpu  cat /proc/cpuinfo2查看内存free  cat /proc/meminfo3查看硬盘分区lsblkcat /proc/partitions4内核版本 uname -r5发行版本c......
  • 开源代码审计系统 Swallow 内测发布
    一背景这个月的主要目标是检验蜻蜓的编排系统和优化,我基于蜻蜓开发dolphin的ASM系统,这两周主要开发代码审计系统swallow.Swallow是一款开源的代码审计工具,其底层集成......
  • 反序列化漏洞 之 CC1链(审计分析)
    反序列化前提1、被序列化和反序列化的类需要实现Serializable序列化接口2、并重写readObject方法,在重写的readObject方法中执行objectInputStream.defaultReadOb......
  • 25、资源对象-Service【理论-回顾】
    1、基础知识1.1、场景通过对Pod及其管理资源RC和Deployment的实践,我们知道,我们所有的应用服务都是工作在pod资源中,由于每个Pod都有独立的ip地址,而大量的动态创建和销毁......