Το Horusec είναι ένα εργαλείο ανοιχτού κώδικα που εκτελεί ανάλυση στατικού κώδικα για τον εντοπισμό ελαττωμάτων ασφαλείας κατά τη διαδικασία ανάπτυξης των project.
Προς το παρόν, οι γλώσσες προγραμματισμού για ανάλυση είναι οι: C#, Java, Kotlin, Python, Ruby, Golang, Terraform, Javascript, Typescript, Kubernetes, PHP, C, HTML, JSON, Dart.
Το project έχει πολλές επιλογές για την αναζήτηση βασικών leaks και ελαττωμάτων ασφαλείας σε όλα τα αρχεία του προγράμματός σας, καθώς και στο ιστορικό του Git.
Το Horusec μπορεί να χρησιμοποιηθεί μέσω του CLI σε CI/CD.
Table of Contents
Χάρτης πορείας του project
Οι προγραμματιστές αναφέρουν:
Ξεκινήσαμε το project για να συγκεντρωθούμε στην εταιρεία μας, αλλά καθώς η αναζήτηση μεγάλωνε όλο και περισσότερο, επιλέξαμε να εφαρμόσουμε διαφορετικές πρακτικές και να το κάνουμε προσβάσιμο για όλους.
Προκειμένου να επιτύχουμε τους στόχους μας, χωρίσαμε σε ορισμένες φάσεις παράδοσης:
- Φάση 0: Υποστήριξη για όλες τις δυνατότητες horusec-cli σε horusec-vscode (Q1)
- Φάση 1: Υποστήριξη για το Theia (VsCode Web) (Q1)
- Φάση 2: Υποστήριξη Flutter, Dart, Bash, Shell, Elixir, Cloujure e Scala στην ανάλυση (Q1)
- Φάση 3: Νέα υπηρεσία για ευπάθειες του διαχειριστή (Q2)
- Φάση 4: Ανάλυση εξάρτησης για όλες τις υποστηριζόμενες γλώσσες προγραμματισμού (Q3)
- Φάση 5: SAST με σημασιολογική ανάλυση MVP (Q4)
- Φάση 6: DAST με συμβολική ανάλυση MVP (Q4)
Εγκατάσταση
Για να δείτε περισσότερες λεπτομέρειες σχετικά με τον τρόπο εγκατάστασης του προγράμματος, μεταβείτε εδώ.
Χρήση
Για χρήση του horusec-cli και ελέγξτε τις ευπάθειές σας
horusec start
Για να αποκτήσετε το διακριτικό εξουσιοδότησης και να μπορείτε να δείτε τα τρωτά σημεία σας αναλυτικά στον πίνακα μας δείτε περισσότερες λεπτομέρειες από εδώ
ΠΡΟΕΙΔΟΠΟΙΗΣΗ : Όταν το horusec ξεκινά μια ανάλυση δημιουργεί ένα φάκελο που ονομάζεται .horusec.
Αυτός ο φάκελος χρησιμεύει ως βάση για τη μη αλλαγή του κωδικού σας. Σας προτείνουμε λοιπόν να προσθέσετε τη γραμμή .horusec στο .gitignore αρχείο σας , ώστε αυτός ο φάκελος να μην χρειάζεται να σταλεί στον διακομιστή git!
Απαιτήσεις για την χρήση του horusec-cli
- Docker
- git (Υποχρεωτικό εάν χρησιμοποιείτε αναζήτηση σε όλο το ιστορικό git του έργου)
Χρήση τοπικά
Για χρήση του horusec, κατεβάζετε τοπικά το horusec στο μηχάνημά σας και εκτελέστε
make install
μετά τρέξτε το HORUSEC-CLI για να ξεκινήσετε την ανάλυση.
Περισσότερες πληροφορίες σχετικά με το πρόγραμμα, θα βρείτε εδώ.