美文网首页
开源代码审计系统 Swallow 内测发布

开源代码审计系统 Swallow 内测发布

作者: 汤青松daxia | 来源:发表于2023-03-23 16:30 被阅读0次

一 背景

这个月的主要目标是检验蜻蜓的编排系统和优化,我基于蜻蜓开发dolphin的ASM系统,这两周主要开发代码审计系统 swallow.

Swallow是一款开源的代码审计工具,其底层集成了多种静态代码分析工具,如murphysec SCA、Fortify、SemGrep、Hema(Webshell检测),通过蜻蜓安全的编排系统进行连接。同时上层UI使用了Bootstrap 5和ThinkPHP 6。

二 工具介绍

[图片上传失败...(image-147468-1679646636700)]

优点

支持多种静态代码分析工具的集成,这意味着它可以更全面地发现代码中的潜在漏洞和安全问题。例如,murphysec SCA可以帮助开发人员发现常见的安全漏洞,如SQL注入和跨站脚本攻击;Fortify则可以发现更高级的漏洞,如缓冲区溢出和代码注入;而Hema和Webshell可以帮助发现Web应用程序中的Webshell和恶意代码。
[图片上传失败...(image-ffc261-1679646636701)]
使用蜻蜓安全的编排系统进行连接,这使得它更易于集成和使用。蜻蜓安全的编排系统可以将多个静态代码分析工具组合在一起,并按照用户的需求对其进行配置和管理。这使得Swallow可以轻松地扫描大量的代码,并在发现漏洞时提供有效的警告和建议。
[图片上传失败...(image-85aa72-1679646636701)]
的上层UI使用了Bootstrap 5和ThinkPHP 6,这使得它具有更好的可用性和易用性。Bootstrap是一种流行的前端框架,可以帮助开发人员快速创建漂亮、响应式的Web界面。而ThinkPHP是一种流行的PHP框架,可以帮助开发人员快速构建Web应用程序。Swallow的UI使用这两种框架的组合,可以使得Swallow更易于使用,并提供更好的用户体验。

[图片上传失败...(image-87845b-1679646636701)]
在安全工程师的角度来看,Swallow具有以下几个优点。首先可以帮助安全工程师发现代码中的潜在漏洞和安全问题。这可以使得安全工程师更加全面地评估代码的安全性,并提供更有效的建议和措施。

自定义配置

Swallow支持自定义配置,可以根据用户的需求对静态代码分析工具进行配置和管理。这使得安全工程师可以根据实际情况来选择合适的工具,并将它们集成在一起。
还支持自定义规则,可以帮助安全工程师根据自己的经验和知识来定制规则,并将它们应用到静态代码分析中。
[图片上传失败...(image-4488dc-1679646636701)]

扩展性

Swallow可以与其他工具和系统进行集成。例如,它可以与Jenkins等持续集成工具集成,实现自动化代码审计和漏洞检测。此外还支持多语言,可以支持Java、PHP、Python等多种编程语言的代码审计。

[图片上传失败...(image-808c84-1679646636701)]

工具开源

Swallow是一款开源的工具,可以帮助大家更好地了解代码审计的流程和技术。开源意味着Swallow的代码可以被公开查看和修改,这使得安全工程师可以根据自己的需求和实际情况对其进行定制和扩展。同时可以吸引更多的开发者和安全研究人员参与其中,从而使得它的功能和性能得到不断的提升和改进。

三 安装方法

GitHub地址: https://github.com/StarCrossPortal/swallow

  1. 一键部署控制台 docker-compose up -d
  2. 浏览器打开地址:http://xx.xx.xx.xx:1890/

使用方法

  1. 在设置中填写蜻蜓配置,蜻蜓工作流模板为:http://qingting.starcross.cn/scenario/detail?id=2084
  2. 在设置中添加主域名
  3. 蜻蜓中点击运行工作流,或者设置工作流为周期运行
  4. 在swallow中查看数据

四 总结

总之 Swallow 可以帮助大家发现代码中的潜在漏洞和安全问题。
集成了多种静态代码分析工具,并使用蜻蜓安全的编排系统进行连接,使得扫描代码更加全面和高效。

I使用了Bootstrap 5和ThinkPHP 6,使得它具有更好的可用性和易用性。最重要的是,Swallow是一款开源的工具,可以帮助大家更好地了解代码审计的流程和技术,吸引更多的开发者和安全研究人员参与,不断提升和改进其功能和性能。

注意: fortify商业版本默认不包含在swallow中,如果你已经有fortify,需要把fortify路径填写到配置里面去

查看原文,跳转GitHub Swallow系统

相关文章

  • Linux以外的开源操作系统大汇总

    开源操作系统即公开源代码的操作系统软件,它遵循开源协议使用、编译和发布。自由和开放源代码软件中最著名的是Linux...

  • php代码审计

    审计初审 判断审计对象的架构,是否套了开源的框架,若是开源框架,直接利用框架的漏洞进行验证利用;若是原生代码则进行...

  • 安全系统建设-SonarQube实现GitLab代码审计

    最近领导让我调研一下代码审计的开源工具,发现sonarqube这个系统能够满足我们的需求,可以与gitlab联动进...

  • 代码审计

    代码审计工具 1、三款自动化代码审计工具教程2、seay源代码审计系统 PHP核心配置详解 注意PHP各个版本中配...

  • 如何在 Laravel 中 “规范” 的开发验证码发送功能【社交

    顺便发个小通知:7月15日ThinkSNS+开源版发布,同时非开源的APP也走出内测阶段,体验二维码也全面发布体验...

  • 全栈周报 #2

    #2:2016/09/19 ~ 2016/09/25 热点 Github发布2016年开源报告微信内测小程序Auf...

  • 铁人下载CMS代码审计

    简介 初学java代码审计,跟着大佬的审计方案,走一遍审计流程,这个系统没有使用java框架,作为入门不错。主要作...

  • 开源代码阅读工具使用心得

    开源代码阅读工具使用心得 从刚开始代码审计到现在,我尝试过很多工具,比如source insight,unders...

  • 通过代码审计学习Web安全

    代码审计 代码审计,是对应用程序源代码进行系统性检查的工作。它的目的是为了找到并且修复应 用程序在开发阶段存在的一...

  • Prince and Swallow

    “Swallow,Swallow,Little swallow,will you not stay with me...

网友评论

      本文标题:开源代码审计系统 Swallow 内测发布

      本文链接:https://www.haomeiwen.com/subject/rmvirdtx.html