做甲方安全建設,SDL是一個離不開的話題,其中就包含代碼審計工作,我從最開始使用編輯器自帶的查找,到使用fortify工具,再到後來又覺得fortify的掃描太慢影響審計效率,再後來就想着把fortify集成到自己的業務系統中去
最近幾年安全行業發展的很快,以前少見的組件安全產品也多了起來,可以自定義掃描規則的semgrep,還有GitHub的以及codeQL產品,工具越來越多,如果還是之前的單個工具打開模式效率也不會太高.所以想着乾脆做一個代碼聚合的審計系統
整體開發思路
當我需要審計某一個項目的時候只需要將代碼地址存放進去,然後這個系統就會自動下載代碼,並調用各種代碼審計工具進行掃描,並將結果存儲到系統中去.
這裏包含了部分內容,第一部分是底層代碼掃描的實現,數據庫的設計,上層UI的展示
底層實現
swallow在開發之前我給他的定義是一個效率系統,因此他只是調用其他工具的結果,然後進行聚合展示.那麼我就需要考慮用那些工具了.
這裏我有四點需求,分別是污點跟蹤,安全規則檢索,組件依賴漏洞,WebShell檢測
污點跟蹤
首先說下污點跟蹤,他需要了解我的程序參數接收位置,然後參數在什麼地方執行,滿足需求的這種產品並不多,知名的有fortify,checkmax,這裏我選擇了調用fortify代碼審計系統.
規則檢索
一些結合業務方面的漏洞,可能需要編寫對應檢查規則,因此需要選擇一個比較容易自定義規則的代碼掃描器,有兩種選擇 semgrep和CodeQL,個人認爲semgrep更加簡單易用,因此選擇了它
組件漏洞
組件漏洞主要是解決了項目A依賴了項目B,項目B產生了漏洞的情況,現在市面上挺多這種工具,我選擇了墨菲.
WebShell
webshell 掃描主要是解決大量代碼文件裏可能存在木馬的情況,用的是河馬的webshell檢測工具
有了這四大工具,我基本就可以對代碼進行比較全面的檢測了,但是數據的整體交互邏輯,以及數據格式我還需要梳理,爲了簡化這個過程,我直接使用了蜻蜓平臺的編排系統,這樣我基本不用寫太多數據交互代碼了,直接可視化拖拽,然後關注每個節點的情況即可.
數據可以直接使用蜻蜓安全工作臺中的數據庫組件,滿足了數據的增刪改查
數據庫設計
數據庫設計我採用了最省事的辦法,首先我需要有一個表存放Git的倉庫地址,因此新建了一張git_add表,另外系統還需要一些配置,因此新建了一張project_conf表格,如下圖所示
現在需要考慮用到四個工具結果數據存放問題,因此我最開始新建了4張數據表,但後來發現5張表更加合適,如下圖所示
因爲墨菲代碼掃描方面,他的結果稍微需要區別一下,他的結構是一個二維數組,這樣不利於數據庫檢索,因此我將墨菲的表結構一分爲二,因此有兩個表結構
前端UI
前端UI本想採用element的UI框架,但這個項目只有我一個人開發,而且項目本身也比較簡單,直接套模板更加省事.
所以使用了bootstrap5 結合thinkPHP6 開發出來
效果圖如下所示
添加倉庫
安裝過程我就不講了,直接記錄如何使用,以及效果吧.
首先需要在倉庫列表,找到添加按鈕,將Git倉庫地址放進去,然後會自動添加到列表中
如上圖所示,可以一次性添加多個倉庫,每行一個倉庫地址就行了
查看依賴漏洞
查看WebShell
查看依賴組件
作者: 湯青松
日期: 2023-04-03