做甲方安全建设,SDL是一个离不开的话题,其中就包含代码审计工作,我从最开始使用编辑器自带的查找,到使用fortify工具,再到后来又觉得fortify的扫描太慢影响审计效率,再后来就想着把fortify集成到自己的业务系统中去
最近几年安全行业发展的很快,以前少见的组件安全产品也多了起来,可以自定义扫描规则的semgrep,还有GitHub的以及codeQL产品,工具越来越多,如果还是之前的单个工具打开模式效率也不会太高.所以想着干脆做一个代码聚合的审计系统
项目地址: https://github.com/StarCrossPortal/swallow
整体开发思路
当我需要审计某一个项目的时候只需要将代码地址存放进去,然后这个系统就会自动下载代码,并调用各种代码审计工具进行扫描,并将结果存储到系统中去.
这里包含了部分内容,第一部分是底层代码扫描的实现,数据库的设计,上层UI的展示
底层实现
swallow在开发之前我给他的定义是一个效率系统,因此他只是调用其他工具的结果,然后进行聚合展示.那么我就需要考虑用那些工具了.
这里我有四点需求,分别是污点跟踪,安全规则检索,组件依赖漏洞,WebShell检测
污点跟踪
首先说下污点跟踪,他需要了解我的程序参数接收位置,然后参数在什么地方执行,满足需求的这种产品并不多,知名的有fortify,checkmax,这里我选择了调用fortify代码审计系统.
规则检索
一些结合业务方面的漏洞,可能需要编写对应检查规则,因此需要选择一个比较容易自定义规则的代码扫描器,有两种选择 semgrep和CodeQL,个人认为semgrep更加简单易用,因此选择了它
组件漏洞
组件漏洞主要是解决了项目A依赖了项目B,项目B产生了漏洞的情况,现在市面上挺多这种工具,我选择了墨菲.
WebShell
webshell 扫描主要是解决大量代码文件里可能存在木马的情况,用的是河马的webshell检测工具
有了这四大工具,我基本就可以对代码进行比较全面的检测了,但是数据的整体交互逻辑,以及数据格式我还需要梳理,为了简化这个过程,我直接使用了蜻蜓平台的编排系统,这样我基本不用写太多数据交互代码了,直接可视化拖拽,然后关注每个节点的情况即可.
数据可以直接使用蜻蜓安全工作台中的数据库组件,满足了数据的增删改查
数据库设计
数据库设计我采用了最省事的办法,首先我需要有一个表存放Git的仓库地址,因此新建了一张git_add
表,另外系统还需要一些配置,因此新建了一张project_conf
表格,如下图所示
现在需要考虑用到四个工具结果数据存放问题,因此我最开始新建了4张数据表,但后来发现5张表更加合适,如下图所示
因为墨菲代码扫描方面,他的结果稍微需要区别一下,他的结构是一个二维数组,这样不利于数据库检索,因此我将墨菲的表结构一分为二,因此有两个表结构
前端UI
前端UI本想采用element的UI框架,但这个项目只有我一个人开发,而且项目本身也比较简单,直接套模板更加省事.
所以使用了bootstrap5 结合thinkPHP6 开发出来
效果图如下所示
添加仓库
安装过程我就不讲了,直接记录如何使用,以及效果吧.
首先需要在仓库列表,找到添加按钮,将Git仓库地址放进去,然后会自动添加到列表中
如上图所示,可以一次性添加多个仓库,每行一个仓库地址就行了
查看依赖漏洞
查看WebShell
查看依赖组件
作者: 汤青松
日期: 2023-04-03