最近在嗶哩嗶哩看 到Swallow 代碼審計系統(tǒng)的宣傳,發(fā)現功能比較適合我目前的工作需要,安裝使用了一下,簡單做了一個筆記,分享給有需要的朋友.

底層架構為蜻蜓編排系統(tǒng),墨菲SCA,fortify,SemGrep,hema
項目地址:https://github.com/StarCrossPortal/swallow
安裝與使用視頻教程:https://www.bilibili.com/video/BV14h411V7m5/

添加倉庫

安裝過程我就不講了,直接記錄如何使用,以及效果吧.

首先需要在倉庫列表,找到添加按鈕,將Git倉庫地址放進去,然后會自動添加到列表中

如上圖所示,可以一次性添加多個倉庫,每行一個倉庫地址就行了

漏洞管理

添加進去之后,等了5分鐘,便掃出了一些結果,漏洞管理這個列表出來的是fortify掃描出來的漏洞,

點擊查看詳情,能看到污點參數的入口,還有執(zhí)行的位置,如下圖所示

fortify的報告是英文版本,不過也都是一些常見的詞匯,用這到沒啥影響.

查看危險函數

危險函數其實是通過semgrep實現的危險規(guī)則檢測,比如當調用一些敏感函數,會在這里出現;當然出現的其實也不僅僅是危險的函數,可能還會有一些其他的規(guī)則

查看詳情之后,這里會看到詳細的漏洞信息

如上圖所示,這個提示是說代碼里用到了system函數,然后就是解釋這個函數為什么有相關安全風險.

查看依賴漏洞

依賴漏洞指的是A項目用到了B項目的代碼,如果B項目出現漏洞,那么可能導致A項目也出現,Swallow的依賴漏洞檢測使用的是墨菲SCA工具,如下圖所示

展開詳情頁后,可以看到依賴漏洞的CVE編號

查看WebShell

webshell檢測用的工具時河馬,這個工具目前會將可疑的文件列出來,但不會猶太詳細的信息

查看依賴組件

最后是依賴組件列表,會將項目所依賴的組件都解析出來,但這些信息只是輔助,并不是說這些組件都存在安全問題.