一 背景
這個月的主要目標是檢驗蜻蜓的編排系統和優化,我基於蜻蜓開發dolphin的ASM系統,這兩週主要開發代碼審計系統 swallow.
Swallow是一款開源的代碼審計工具,其底層集成了多種靜態代碼分析工具,如murphysec SCA、Fortify、SemGrep、Hema(Webshell檢測),通過蜻蜓安全的編排系統進行連接。同時上層UI使用了Bootstrap 5和ThinkPHP 6。
二 工具介紹
優點
支持多種靜態代碼分析工具的集成,這意味着它可以更全面地發現代碼中的潛在漏洞和安全問題。例如,murphysec SCA可以幫助開發人員發現常見的安全漏洞,如SQL注入和跨站腳本攻擊;Fortify則可以發現更高級的漏洞,如緩衝區溢出和代碼注入;而Hema和Webshell可以幫助發現Web應用程序中的Webshell和惡意代碼。
使用蜻蜓安全的編排系統進行連接,這使得它更易於集成和使用。蜻蜓安全的編排系統可以將多個靜態代碼分析工具組合在一起,並按照用戶的需求對其進行配置和管理。這使得Swallow可以輕鬆地掃描大量的代碼,並在發現漏洞時提供有效的警告和建議。
的上層UI使用了Bootstrap 5和ThinkPHP 6,這使得它具有更好的可用性和易用性。Bootstrap是一種流行的前端框架,可以幫助開發人員快速創建漂亮、響應式的Web界面。而ThinkPHP是一種流行的PHP框架,可以幫助開發人員快速構建Web應用程序。Swallow的UI使用這兩種框架的組合,可以使得Swallow更易於使用,並提供更好的用戶體驗。
在安全工程師的角度來看,Swallow具有以下幾個優點。首先可以幫助安全工程師發現代碼中的潛在漏洞和安全問題。這可以使得安全工程師更加全面地評估代碼的安全性,並提供更有效的建議和措施。
自定義配置
Swallow支持自定義配置,可以根據用戶的需求對靜態代碼分析工具進行配置和管理。這使得安全工程師可以根據實際情況來選擇合適的工具,並將它們集成在一起。
還支持自定義規則,可以幫助安全工程師根據自己的經驗和知識來定製規則,並將它們應用到靜態代碼分析中。
擴展性
Swallow可以與其他工具和系統進行集成。例如,它可以與Jenkins等持續集成工具集成,實現自動化代碼審計和漏洞檢測。此外還支持多語言,可以支持Java、PHP、Python等多種編程語言的代碼審計。
工具開源
Swallow是一款開源的工具,可以幫助大家更好地瞭解代碼審計的流程和技術。開源意味着Swallow的代碼可以被公開查看和修改,這使得安全工程師可以根據自己的需求和實際情況對其進行定製和擴展。同時可以吸引更多的開發者和安全研究人員參與其中,從而使得它的功能和性能得到不斷的提升和改進。
三 安裝方法
GitHub地址: https://github.com/StarCrossPortal/swallow
- 一鍵部署控制檯
docker-compose up -d
- 瀏覽器打開地址:
http://xx.xx.xx.xx:1890/
使用方法
- 在設置中填寫蜻蜓配置,蜻蜓工作流模板爲:http://qingting.starcross.cn/scenario/detail?id=2084
- 在設置中添加主域名
- 蜻蜓中點擊運行工作流,或者設置工作流爲週期運行
- 在swallow中查看數據
四 總結
總之 Swallow 可以幫助大家發現代碼中的潛在漏洞和安全問題。
集成了多種靜態代碼分析工具,並使用蜻蜓安全的編排系統進行連接,使得掃描代碼更加全面和高效。
I使用了Bootstrap 5和ThinkPHP 6,使得它具有更好的可用性和易用性。最重要的是,Swallow是一款開源的工具,可以幫助大家更好地瞭解代碼審計的流程和技術,吸引更多的開發者和安全研究人員參與,不斷提升和改進其功能和性能。
注意: fortify商業版本默認不包含在swallow中,如果你已經有fortify,需要把fortify路徑填寫到配置裏面去
查看原文,跳轉GitHub Swallow系統