一 背景
这个月的主要目标是检验蜻蜓的编排系统和优化,我基于蜻蜓开发dolphin的ASM系统,这两周主要开发代码审计系统 swallow.
Swallow是一款开源的代码审计工具,其底层集成了多种静态代码分析工具,如murphysec SCA、Fortify、SemGrep、Hema(Webshell检测),通过蜻蜓安全的编排系统进行连接。同时上层UI使用了Bootstrap 5和ThinkPHP 6。
二 工具介绍
[图片上传失败...(image-147468-1679646636700)]
优点
支持多种静态代码分析工具的集成,这意味着它可以更全面地发现代码中的潜在漏洞和安全问题。例如,murphysec SCA可以帮助开发人员发现常见的安全漏洞,如SQL注入和跨站脚本攻击;Fortify则可以发现更高级的漏洞,如缓冲区溢出和代码注入;而Hema和Webshell可以帮助发现Web应用程序中的Webshell和恶意代码。
[图片上传失败...(image-ffc261-1679646636701)]
使用蜻蜓安全的编排系统进行连接,这使得它更易于集成和使用。蜻蜓安全的编排系统可以将多个静态代码分析工具组合在一起,并按照用户的需求对其进行配置和管理。这使得Swallow可以轻松地扫描大量的代码,并在发现漏洞时提供有效的警告和建议。
[图片上传失败...(image-85aa72-1679646636701)]
的上层UI使用了Bootstrap 5和ThinkPHP 6,这使得它具有更好的可用性和易用性。Bootstrap是一种流行的前端框架,可以帮助开发人员快速创建漂亮、响应式的Web界面。而ThinkPHP是一种流行的PHP框架,可以帮助开发人员快速构建Web应用程序。Swallow的UI使用这两种框架的组合,可以使得Swallow更易于使用,并提供更好的用户体验。
[图片上传失败...(image-87845b-1679646636701)]
在安全工程师的角度来看,Swallow具有以下几个优点。首先可以帮助安全工程师发现代码中的潜在漏洞和安全问题。这可以使得安全工程师更加全面地评估代码的安全性,并提供更有效的建议和措施。
自定义配置
Swallow支持自定义配置,可以根据用户的需求对静态代码分析工具进行配置和管理。这使得安全工程师可以根据实际情况来选择合适的工具,并将它们集成在一起。
还支持自定义规则,可以帮助安全工程师根据自己的经验和知识来定制规则,并将它们应用到静态代码分析中。
[图片上传失败...(image-4488dc-1679646636701)]
扩展性
Swallow可以与其他工具和系统进行集成。例如,它可以与Jenkins等持续集成工具集成,实现自动化代码审计和漏洞检测。此外还支持多语言,可以支持Java、PHP、Python等多种编程语言的代码审计。
[图片上传失败...(image-808c84-1679646636701)]
工具开源
Swallow是一款开源的工具,可以帮助大家更好地了解代码审计的流程和技术。开源意味着Swallow的代码可以被公开查看和修改,这使得安全工程师可以根据自己的需求和实际情况对其进行定制和扩展。同时可以吸引更多的开发者和安全研究人员参与其中,从而使得它的功能和性能得到不断的提升和改进。
三 安装方法
GitHub地址: https://github.com/StarCrossPortal/swallow
- 一键部署控制台
docker-compose up -d
- 浏览器打开地址:
http://xx.xx.xx.xx:1890/
使用方法
- 在设置中填写蜻蜓配置,蜻蜓工作流模板为:http://qingting.starcross.cn/scenario/detail?id=2084
- 在设置中添加主域名
- 蜻蜓中点击运行工作流,或者设置工作流为周期运行
- 在swallow中查看数据
四 总结
总之 Swallow 可以帮助大家发现代码中的潜在漏洞和安全问题。
集成了多种静态代码分析工具,并使用蜻蜓安全的编排系统进行连接,使得扫描代码更加全面和高效。
I使用了Bootstrap 5和ThinkPHP 6,使得它具有更好的可用性和易用性。最重要的是,Swallow是一款开源的工具,可以帮助大家更好地了解代码审计的流程和技术,吸引更多的开发者和安全研究人员参与,不断提升和改进其功能和性能。
注意: fortify商业版本默认不包含在swallow中,如果你已经有fortify,需要把fortify路径填写到配置里面去
查看原文,跳转GitHub Swallow系统