一 背景
这个月的主要目标是检验蜻蜓的编排系统和优化,我基于蜻蜓开发dolphin的ASM系统,这两周主要开发代码审计系统 swallow.
Swallow是一款开源的代码审计工具,其底层集成了多种静态代码分析工具,如murphysec SCA、Fortify、SemGrep、HemaWebshell检测),通过蜻蜓安全的编排系统进行连接。同时上层UI使用了Bootstrap 5和ThinkPHP 6。
二 工具介绍
优点
支持多种静态代码分析工具的集成,这意味着它可以更全面地发现代码中的潜在漏洞和安全问题。例如,murphysec SCA可以帮助开发人员发现常见的安全漏洞,如SQL注入和跨站脚本攻击;Fortify则可以发现更高级的漏洞,如缓冲区溢出和代码注入;而Hema和Webshell可以帮助发现Web应用程序中的Webshell和恶意代码。
使用蜻蜓安全的编排系统进行连接,这使得它更易于集成和使用。蜻蜓安全的编排系统可以将多个静态代码分析工具组合在一起,并按照用户的需求对其进行配置和管理。这使得Swallow可以轻松地扫描大量的代码,并在发现漏洞时提供有效的警告和建议。
的上层UI使用了Bootstrap 5和ThinkPHP 6,这使得它具有更好的可用性和易用性。Bootstrap是一种流行的前端框架,可以帮助开发人员快速创建漂亮、响应式的Web界面。而ThinkPHP是一种流行的PHP框架,可以帮助开发人员快速构建Web应用程序。Swallow的UI使用这两种框架的组合,可以使得Swallow更易于使用,并提供更好的用户体验。
在安全工程师的角度来看,Swallow具有以下几个优点。首先可以帮助安全工程师发现代码中的潜在漏洞和安全问题。这可以使得安全工程师更加全面地评估代码的安全性,并提供更有效的建议和措施。
自定义配置
Swallow支持自定义配置,可以根据用户的需求对静态代码分析工具进行配置和管理。这使得安全工程师可以根据实际情况来选择合适的工具,并将它们集成在一起。
还支持自定义规则,可以帮助安全工程师根据自己的经验和知识来定制规则,并将它们应用到静态代码分析中。
扩展性
Swallow可以与其他工具和系统进行集成。例如,它可以与Jenkins等持续集成工具集成,实现自动化代码审计和漏洞检测。此外还支持多语言,可以支持Java、PHP、Python等多种编程语言的代码审计。
工具开源
Swallow是一款开源的工具,可以帮助大家更好地了解代码审计的流程和技术。开源意味着Swallow的代码可以被公开查看和修改,这使得安全工程师可以根据自己的需求和实际情况对其进行定制和扩展。同时可以吸引更多的开发者和安全研究人员参与其中,从而使得它的功能和性能得到不断的提升和改进。
三 安装方法
GitHub地址: https://github.com/StarCrossPortal/swallow
- 一键部署控制台
docker-compose up -d
- 浏览器打开地址:
http://xx.xx.xx.xx:1890/
使用方法
- 在设置中填写蜻蜓配置,蜻蜓工作流模板为:http://qingting.starcross.cn/scenario/detail?id=2084
- 在设置中添加主域名
- 蜻蜓中点击运行工作流,或者设置工作流为周期运行
- 在swallow中查看数据
四 总结
总之 Swallow 可以帮助大家发现代码中的潜在漏洞和安全问题。
集成了多种静态代码分析工具,并使用蜻蜓安全的编排系统进行连接,使得扫描代码更加全面和高效。
I使用了Bootstrap 5和ThinkPHP 6,使得它具有更好的可用性和易用性。最重要的是,Swallow是一款开源的工具,可以帮助大家更好地了解代码审计的流程和技术,吸引更多的开发者和安全研究人员参与,不断提升和改进其功能和性能。
注意: fortify商业版本默认不包含在swallow中,如果你已经有fortify,需要把fortify路径填写到配置里面去
查看原文,跳转GitHub Swallow系统
查看全文
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.dgrt.cn/a/2034918.html
如若内容造成侵权/违法违规/事实不符,请联系一条长河网进行投诉反馈,一经查实,立即删除!
相关文章:
开源代码审计系统 Swallow 内测发布
一 背景
这个月的主要目标是检验蜻蜓的编排系统和优化,我基于蜻蜓开发dolphin的ASM系统,这两周主要开发代码审计系统 swallow.
Swallow是一款开源的代码审计工具,其底层集成了多种静态代码分析工具,如murphysec SCA、Fortify、SemGrep、HemaWebshell检……
Vue学习计划七:了解Vue动画效果以及过渡动画和动态组件的使用方法
Vue.js 是一个流行的 JavaScript 框架,它提供了很多工具和功能,可以帮助开发人员创建动态、交互式的 Web 应用程序。其中之一就是动画效果,Vue.js 提供了一系列的 API 和指令,使得添加动画效果变得非常容易。
在 Vue.js 中&#……
电磁铁电源JCP-10-40的技术参数
JCP-10-40为高稳定度的双极性恒流电源,广泛应用于电磁铁、亥姆霍兹线圈等感性负载的励磁。电源采用线性电源结构,输出电流稳定度高,纹波和噪声低。电源输出电流可在正负额定电流*值之间连续变化,电流平滑连续过零,可使……
理解对数——金融问题中的自然对数(以e为底的对数)
第3章 金融问题Financial Matters)——金融问题中的自然对数If thou lend moneyto any ofMy people. …thou shalt not beto him as a creditor;neither shall yelay upon him interest.如果你借钱给我的任何人。 ……你不应该是他的债权人;也不可向他加息。)——……
利用单级栅电压驱动IGBT
利用单级栅电压驱动IGBT1. 0V关闭1.1 通过米勒电容开启1.2 通过杂散电感开启1.3 带共辅助射级的模块中的寄生开启2. 寄生开关的证明3.建议措施3.1 改变栅极电阻3.2 利用单独的栅极电阻实现非要害开启和关闭3.3 增加栅极射电容来分流米勒电流3.4 利用晶体管分流米勒电流……
Java中级面试题记录二)
1.Spring Security OAuth2执行流程? 这里是引用 2.Oauth2服务端如何获取token? 这里是引用 3.前端请求是如何到达controller的? 1.用户发送请求至前端控制器DispatcherServlet 2.DispatcherServlet收到请求调用HandlerMapping处理器映射器 3.处理器映射……
NVM,一个管理nodejs版本的工具
目录
一、前言
二、NVM简介
三、下载、安装
四、检查安装是否成功
五、常见命令
六、安装的nodejs的位置 一、前言
作为一个后端开发者,在前端开发中,时常遇到一个问题:
就是node版本过高或过低的情况。这个时候它就会要求你卸载当前……
SqlAlchemy使用入门
官方文档:https://docs.sqlalchemy.org/ SQLAlchemy是一个Python的SQL工具和ORM 框架,提供了丰富的SQL操作和数据持久化功能,支持多种数据库,包括 PostgreSQL、MySQL、Oracle、SQLite 等。SQLAlchemy分为SQL Expression Lan……
diagnose-tools 编译报错
在 Ubuntu 20.04.4 LTS 环境中,编译diagnose-tools, 执行make deps时报错 checking whether gcc -m32 makes executables we can run… no configure: WARNING: not running biarch tests, gcc -m32 does not work checking for flex… yes checking f……
【C++进阶】C++11上)列表初始化、变量类型推导和新增加容器静态数组array、forward_list以及unordered系列)
文章目录统一的列表初始化{}初始化std::initializer_list变量的类型推导autodecltype新增加的容器arrayforward_list统一的列表初始化
{}初始化
在C98中,标准允许使用花括号{}对数组或者结构体元素进行统一的列表初始值设定。 C11扩大了用大括号括起的列表初始……
学会这些终端快捷键,让你在Linux上的操作快100倍
🪶 简述 Linux命令行的许多快捷键与GNU/Emacs编辑器非常像,因此我十分建议可以学习学习emacs编辑器,来了解或发现更多的命令行快捷键。 点此访问emacs官网 点此访问emacs中国(论坛) 简述一下Emacs:Emacs’一切皆快捷键……
手把手教你Temporal Fusion Transformer——Pytorch实战
建立了一个关于能源需求预测的端到端项目: 如何为 TFT 格式准备我们的数据。 如何构建、训练和评估 TFT 模型。 如何获取对验证数据和样本外预测的预测。 如何使用built-in model的可解释注意力机制计算特征重要性、季节性模式和极端事件鲁棒性。
什么是Temporal F……
【Java开发】设计模式 12:解释器模式
1 解释器模式介绍
解释器模式是一种行为型设计模式,它提供了一种方法来解释语言、表达式或符号。
在该模式中,定义了一个表达式接口,并实现了对应的表达式类,这些类可以解释不同的符号组成的表达式,从而实现对语言的……
反序列化渗透与攻防五)之shiro反序列化漏洞
Shiro反序列化漏洞
Shiro介绍
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性
Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默……
vue2+vue3
vue2vue3尚硅谷vue2vue2 课程简介【02:24】vue2 Vue简介【17:59】vue2 Vue官网使用指南【14:07】vue2 搭建Vue开发环境【13:54】vue2 Hello小案例【22:25】了解: 不常用常用:id 更常用 简单class差值总结vue 实例vue 模板 : 先 取 ࿰……
【hello Linux】环境变量
目录 1. 环境变量的概念 2. 常见的环境变量 3. 查看环境变量 4. 和环境变量相关的命令 5. 环境变量的组织方式 6. 通过代码获取环境变量 7. 通过系统调用获取环境变量 Linux🌷 在开始今天的内容之前,先来看一幅图片吧! 不知道你们是否和我一……
【Linux基础】常用命令整理
ls命令
-a选项,可以展示隐藏的文件和文件夹-l选项,以列表形式展示内容-h,需要和-l搭配使用,可以展示文件的大小单位ls -lah等同于la -a -l -h
cd命令(change directory)
语法:cd [Linux路径]……
客快物流大数据项目(一百一十二):初识Spring Cloud
文章目录
初识Spring Cloud
一、Spring Cloud简介
二、SpringCloud 基础架构图…
C和C++中的struct有什么区别
区别一: C语言中: Struct是用户自定义数据类型(UDT)。 C语言中: Struct是抽象数据类型(ADT),支持成员函数的定义。
区别二:
C中的struct是没有权限设置的,……
docker的数据卷详解
数据卷 数据卷是宿主机中的一个目录或文件,当容器目录和数据卷目录绑定后,对方修改会立即同步
一个数据卷可以同时被多个容器同时挂载,一个容器也可以被挂载多个数据卷
数据卷作用:容器数据持久化 /外部机器和容器间接通信 /容器……
编程日记2023/4/16 14:50:50