最近在嗶哩嗶哩看 到Swallow 代碼審計系統的宣傳,發現功能比較適合我目前的工作需要,安裝使用了一下,簡單做了一個筆記,分享給有需要的朋友.
底層架構爲蜻蜓編排系統,墨菲SCA,fortify,SemGrep,hema
項目地址:https://github.com/StarCrossPortal/swallow
安裝與使用視頻教程:https://www.bilibili.com/video/BV14h411V7m5/
添加倉庫
安裝過程我就不講了,直接記錄如何使用,以及效果吧.
首先需要在倉庫列表,找到添加按鈕,將Git倉庫地址放進去,然後會自動添加到列表中
如上圖所示,可以一次性添加多個倉庫,每行一個倉庫地址就行了
漏洞管理
添加進去之後,等了5分鐘,便掃出了一些結果,漏洞管理這個列表出來的是fortify掃描出來的漏洞,
點擊查看詳情,能看到污點參數的入口,還有執行的位置,如下圖所示
fortify的報告是英文版本,不過也都是一些常見的詞彙,用這到沒啥影響.
查看危險函數
危險函數其實是通過semgrep實現的危險規則檢測,比如當調用一些敏感函數,會在這裏出現;當然出現的其實也不僅僅是危險的函數,可能還會有一些其他的規則
查看詳情之後,這裏會看到詳細的漏洞信息
如上圖所示,這個提示是說代碼裏用到了system函數,然後就是解釋這個函數爲什麼有相關安全風險.
查看依賴漏洞
依賴漏洞指的是A項目用到了B項目的代碼,如果B項目出現漏洞,那麼可能導致A項目也出現,Swallow的依賴漏洞檢測使用的是墨菲SCA工具,如下圖所示
展開詳情頁後,可以看到依賴漏洞的CVE編號
查看WebShell
webshell檢測用的工具時河馬,這個工具目前會將可疑的文件列出來,但不會猶太詳細的信息
查看依賴組件
最後是依賴組件列表,會將項目所依賴的組件都解析出來,但這些信息只是輔助,並不是說這些組件都存在安全問題.
