代码审计系统 Swallow 开发回顾

本文涉及的产品
对象存储 OSS,20GB 3个月
对象存储 OSS,恶意文件检测 1000次 1年
对象存储 OSS,内容安全 1000次 1年
简介: 做甲方安全建设,SDL是一个离不开的话题,其中就包含代码审计工作,我从最开始使用编辑器自带的查找,到使用fortify工具,再到后来又觉得fortify的扫描太慢影响审计效率,再后来就想着把fortify集成到自己的业务系统中去

做甲方安全建设,SDL是一个离不开的话题,其中就包含代码审计工作,我从最开始使用编辑器自带的查找,到使用fortify工具,再到后来又觉得fortify的扫描太慢影响审计效率,再后来就想着把fortify集成到自己的业务系统中去


最近几年安全行业发展的很快,以前少见的组件安全产品也多了起来,可以自定义扫描规则的semgrep,还有GitHub的以及codeQL产品,工具越来越多,如果还是之前的单个工具打开模式效率也不会太高.所以想着干脆做一个代码聚合的审计系统




> 项目地址: https://github.com/StarCrossPortal/swallow




## 整体开发思路


当我需要审计某一个项目的时候只需要将代码地址存放进去,然后这个系统就会自动下载代码,并调用各种代码审计工具进行扫描,并将结果存储到系统中去.

![](https://oss.songboy.site/blog/20230329163916.png)



这里包含了部分内容,第一部分是底层代码扫描的实现,数据库的设计,上层UI的展示



## 底层实现


swallow在开发之前我给他的定义是一个效率系统,因此他只是调用其他工具的结果,然后进行聚合展示.那么我就需要考虑用那些工具了.


这里我有四点需求,分别是污点跟踪,安全规则检索,组件依赖漏洞,WebShell检测





#### 污点跟踪


首先说下污点跟踪,他需要了解我的程序参数接收位置,然后参数在什么地方执行,满足需求的这种产品并不多,知名的有fortify,checkmax,这里我选择了调用fortify代码审计系统.


![](https://oss.songboy.site/blog/20230327145256.png)

![](https://oss.songboy.site/blog/20230328165110.png)


#### 规则检索


一些结合业务方面的漏洞,可能需要编写对应检查规则,因此需要选择一个比较容易自定义规则的代码扫描器,有两种选择 semgrep和CodeQL,个人认为semgrep更加简单易用,因此选择了它


![](https://oss.songboy.site/blog/20230327145319.png)

![](https://oss.songboy.site/blog/20230328165315.png)



#### 组件漏洞


组件漏洞主要是解决了项目A依赖了项目B,项目B产生了漏洞的情况,现在市面上挺多这种工具,我选择了墨菲.


![](https://oss.songboy.site/blog/20230327145416.png)


#### WebShell


webshell 扫描主要是解决大量代码文件里可能存在木马的情况,用的是河马的webshell检测工具



有了这四大工具,我基本就可以对代码进行比较全面的检测了,但是数据的整体交互逻辑,以及数据格式我还需要梳理,为了简化这个过程,我直接使用了蜻蜓平台的编排系统,这样我基本不用写太多数据交互代码了,直接可视化拖拽,然后关注每个节点的情况即可.


数据可以直接使用蜻蜓安全工作台中的数据库组件,满足了数据的增删改查


## 数据库设计


数据库设计我采用了最省事的办法,首先我需要有一个表存放Git的仓库地址,因此新建了一张`git_add`表,另外系统还需要一些配置,因此新建了一张`project_conf`表格,如下图所示


![](https://oss.songboy.site/blog/20230329164354.png)


现在需要考虑用到四个工具结果数据存放问题,因此我最开始新建了4张数据表,但后来发现5张表更加合适,如下图所示


![](https://oss.songboy.site/blog/20230329164323.png)


因为墨菲代码扫描方面,他的结果稍微需要区别一下,他的结构是一个二维数组,这样不利于数据库检索,因此我将墨菲的表结构一分为二,因此有两个表结构





## 前端UI



前端UI本想采用element的UI框架,但这个项目只有我一个人开发,而且项目本身也比较简单,直接套模板更加省事.


所以使用了bootstrap5 结合thinkPHP6 开发出来


效果图如下所示



## 添加仓库


安装过程我就不讲了,直接记录如何使用,以及效果吧.



首先需要在仓库列表,找到添加按钮,将Git仓库地址放进去,然后会自动添加到列表中


![](https://oss.songboy.site/blog/20230327145214.png)


如上图所示,可以一次性添加多个仓库,每行一个仓库地址就行了




#### 查看依赖漏洞


![](https://oss.songboy.site/blog/20230328172246.png)


#### 查看WebShell


![](https://oss.songboy.site/blog/20230327145352.png)


#### 查看依赖组件


![](https://oss.songboy.site/blog/20230327145335.png)



> 作者: 汤青松


> 日期: 2023-04-03

相关实践学习
借助OSS搭建在线教育视频课程分享网站
本教程介绍如何基于云服务器ECS和对象存储OSS,搭建一个在线教育视频课程分享网站。
目录
相关文章
|
安全 Java 测试技术
【代码审计篇】 代码审计工具Fortify基本用法详解
本篇文章讲解代码审计工具Fortify的基本用法,感兴趣的小伙伴可以研究学习一下,文中部分地方可能会有遗漏,麻烦各位大佬指正,深表感谢!!!
1538 1
|
6月前
|
SQL 云安全 安全
怎么做好代码审计
代码审计,顾名思义,是一种对软件源代码进行系统性的检查和分析过程,旨在发现源代码中的安全缺陷、性能问题以及其他可能存在的缺陷。这是一种重要的软件质量保障手段,尤其在安全领域中占据着举足轻重的地位。
|
6月前
【攻防世界】warmup (代码审计)
【攻防世界】warmup (代码审计)
【攻防世界】warmup (代码审计)
|
6月前
|
SQL 安全 Java
安全测试之推荐工具
【2月更文挑战第2天】安全测试之推荐工具
369 2
|
前端开发 安全 Java
浅析开源项目的代码审计
浅析开源项目的代码审计
275 0
|
SQL 监控 安全
发卡系统代码审计
发卡系统代码审计
|
SQL 安全 数据库
代码审计之DTCMS V5.0后台
代码审计之DTCMS V5.0后台
YzmCMS代码审计
YzmCMS代码审计
216 0
|
安全 前端开发 JavaScript
低难度渗透测试场景靶场
低难度渗透测试场景靶场
117 0
|
存储 SQL XML
安全测试 WEB安全测试手册
安全测试 WEB安全测试手册
194 0
下一篇
无影云桌面