做甲方安全建设,SDL是一个离不开的话题,其中就包含代码审计工作,我从最开始使用编辑器自带的查找,到使用fortify工具,再到后来又觉得fortify的扫描太慢影响审计效率,再后来就想着把fortify集成到自己的业务系统中去

最近几年安全行业发展的很快,以前少见的组件安全产品也多了起来,可以自定义扫描规则的semgrep,还有GitHub的以及codeQL产品,工具越来越多,如果还是之前的单个工具打开模式效率也不会太高.所以想着干脆做一个代码聚合的审计系统

项目地址: https://github.com/StarCrossPortal/swallow

整体开发思路

当我需要审计某一个项目的时候只需要将代码地址存放进去,然后这个系统就会自动下载代码,并调用各种代码审计工具进行扫描,并将结果存储到系统中去.
[图片上传失败...(image-ea10c-1680501802607)]

这里包含了部分内容,第一部分是底层代码扫描的实现,数据库的设计,上层UI的展示

底层实现

swallow在开发之前我给他的定义是一个效率系统,因此他只是调用其他工具的结果,然后进行聚合展示.那么我就需要考虑用那些工具了.

这里我有四点需求,分别是污点跟踪,安全规则检索,组件依赖漏洞,WebShell检测

污点跟踪

首先说下污点跟踪,他需要了解我的程序参数接收位置,然后参数在什么地方执行,满足需求的这种产品并不多,知名的有fortify,checkmax,这里我选择了调用fortify代码审计系统.

[图片上传失败...(image-c369fa-1680501802616)]
[图片上传失败...(image-f2f16c-1680501802617)]

规则检索

一些结合业务方面的漏洞,可能需要编写对应检查规则,因此需要选择一个比较容易自定义规则的代码扫描器,有两种选择 semgrep和CodeQL,个人认为semgrep更加简单易用,因此选择了它

[图片上传失败...(image-4a75ee-1680501802617)]
[图片上传失败...(image-36f309-1680501802617)]

组件漏洞

组件漏洞主要是解决了项目A依赖了项目B,项目B产生了漏洞的情况,现在市面上挺多这种工具,我选择了墨菲.

[图片上传失败...(image-7a2026-1680501802617)]

WebShell

webshell 扫描主要是解决大量代码文件里可能存在木马的情况,用的是河马的webshell检测工具

有了这四大工具,我基本就可以对代码进行比较全面的检测了,但是数据的整体交互逻辑,以及数据格式我还需要梳理,为了简化这个过程,我直接使用了蜻蜓平台的编排系统,这样我基本不用写太多数据交互代码了,直接可视化拖拽,然后关注每个节点的情况即可.

数据可以直接使用蜻蜓安全工作台中的数据库组件,满足了数据的增删改查

数据库设计

数据库设计我采用了最省事的办法,首先我需要有一个表存放Git的仓库地址,因此新建了一张git_add表,另外系统还需要一些配置,因此新建了一张project_conf表格,如下图所示

[图片上传失败...(image-7c03fc-1680501802617)]

现在需要考虑用到四个工具结果数据存放问题,因此我最开始新建了4张数据表,但后来发现5张表更加合适,如下图所示

[图片上传失败...(image-66e174-1680501802617)]

因为墨菲代码扫描方面,他的结果稍微需要区别一下,他的结构是一个二维数组,这样不利于数据库检索,因此我将墨菲的表结构一分为二,因此有两个表结构

前端UI

前端UI本想采用element的UI框架,但这个项目只有我一个人开发,而且项目本身也比较简单,直接套模板更加省事.

所以使用了bootstrap5 结合thinkPHP6 开发出来

效果图如下所示

添加仓库

安装过程我就不讲了,直接记录如何使用,以及效果吧.

首先需要在仓库列表,找到添加按钮,将Git仓库地址放进去,然后会自动添加到列表中

[图片上传失败...(image-fb11c1-1680501802617)]

如上图所示,可以一次性添加多个仓库,每行一个仓库地址就行了

查看依赖漏洞

[图片上传失败...(image-2cb55b-1680501802617)]

查看WebShell

[图片上传失败...(image-8c20e0-1680501802617)]

查看依赖组件

[图片上传失败...(image-4eba29-1680501802617)]

作者: 汤青松

日期: 2023-04-03