一 背景

這個(gè)月的主要目標(biāo)是檢驗(yàn)蜻蜓的編排系統(tǒng)和優(yōu)化,我基于蜻蜓開(kāi)發(fā)dolphin的ASM系統(tǒng),這兩周主要開(kāi)發(fā)代碼審計(jì)系統(tǒng) swallow.

Swallow是一款開(kāi)源的代碼審計(jì)工具，其底層集成了多種靜態(tài)代碼分析工具，如murphysec SCA、Fortify、SemGrep、Hema(Webshell檢測(cè))，通過(guò)蜻蜓安全的編排系統(tǒng)進(jìn)行連接。同時(shí)上層UI使用了Bootstrap 5和ThinkPHP 6。

二 工具介紹

[圖片上傳失敗...(image-147468-1679646636700)]

優(yōu)點(diǎn)

支持多種靜態(tài)代碼分析工具的集成，這意味著它可以更全面地發(fā)現(xiàn)代碼中的潛在漏洞和安全問(wèn)題。例如，murphysec SCA可以幫助開(kāi)發(fā)人員發(fā)現(xiàn)常見(jiàn)的安全漏洞，如SQL注入和跨站腳本攻擊；Fortify則可以發(fā)現(xiàn)更高級(jí)的漏洞，如緩沖區(qū)溢出和代碼注入；而Hema和Webshell可以幫助發(fā)現(xiàn)Web應(yīng)用程序中的Webshell和惡意代碼。
[圖片上傳失敗...(image-ffc261-1679646636701)]
使用蜻蜓安全的編排系統(tǒng)進(jìn)行連接，這使得它更易于集成和使用。蜻蜓安全的編排系統(tǒng)可以將多個(gè)靜態(tài)代碼分析工具組合在一起，并按照用戶的需求對(duì)其進(jìn)行配置和管理。這使得Swallow可以輕松地掃描大量的代碼，并在發(fā)現(xiàn)漏洞時(shí)提供有效的警告和建議。
[圖片上傳失敗...(image-85aa72-1679646636701)]
的上層UI使用了Bootstrap 5和ThinkPHP 6，這使得它具有更好的可用性和易用性。Bootstrap是一種流行的前端框架，可以幫助開(kāi)發(fā)人員快速創(chuàng)建漂亮、響應(yīng)式的Web界面。而ThinkPHP是一種流行的PHP框架，可以幫助開(kāi)發(fā)人員快速構(gòu)建Web應(yīng)用程序。Swallow的UI使用這兩種框架的組合，可以使得Swallow更易于使用，并提供更好的用戶體驗(yàn)。

[圖片上傳失敗...(image-87845b-1679646636701)]
在安全工程師的角度來(lái)看，Swallow具有以下幾個(gè)優(yōu)點(diǎn)。首先可以幫助安全工程師發(fā)現(xiàn)代碼中的潛在漏洞和安全問(wèn)題。這可以使得安全工程師更加全面地評(píng)估代碼的安全性，并提供更有效的建議和措施。

自定義配置

Swallow支持自定義配置，可以根據(jù)用戶的需求對(duì)靜態(tài)代碼分析工具進(jìn)行配置和管理。這使得安全工程師可以根據(jù)實(shí)際情況來(lái)選擇合適的工具，并將它們集成在一起。
還支持自定義規(guī)則，可以幫助安全工程師根據(jù)自己的經(jīng)驗(yàn)和知識(shí)來(lái)定制規(guī)則，并將它們應(yīng)用到靜態(tài)代碼分析中。
[圖片上傳失敗...(image-4488dc-1679646636701)]

擴(kuò)展性

Swallow可以與其他工具和系統(tǒng)進(jìn)行集成。例如，它可以與Jenkins等持續(xù)集成工具集成，實(shí)現(xiàn)自動(dòng)化代碼審計(jì)和漏洞檢測(cè)。此外還支持多語(yǔ)言，可以支持Java、PHP、Python等多種編程語(yǔ)言的代碼審計(jì)。

[圖片上傳失敗...(image-808c84-1679646636701)]

工具開(kāi)源

Swallow是一款開(kāi)源的工具，可以幫助大家更好地了解代碼審計(jì)的流程和技術(shù)。開(kāi)源意味著Swallow的代碼可以被公開(kāi)查看和修改，這使得安全工程師可以根據(jù)自己的需求和實(shí)際情況對(duì)其進(jìn)行定制和擴(kuò)展。同時(shí)可以吸引更多的開(kāi)發(fā)者和安全研究人員參與其中，從而使得它的功能和性能得到不斷的提升和改進(jìn)。

三 安裝方法

GitHub地址: https://github.com/StarCrossPortal/swallow

1. 一鍵部署控制臺(tái) docker-compose up -d
2. 瀏覽器打開(kāi)地址:http://xx.xx.xx.xx:1890/

使用方法

1. 在設(shè)置中填寫(xiě)蜻蜓配置,蜻蜓工作流模板為:http://qingting.starcross.cn/scenario/detail?id=2084
2. 在設(shè)置中添加主域名
3. 蜻蜓中點(diǎn)擊運(yùn)行工作流,或者設(shè)置工作流為周期運(yùn)行
4. 在swallow中查看數(shù)據(jù)

四 總結(jié)

總之 Swallow 可以幫助大家發(fā)現(xiàn)代碼中的潛在漏洞和安全問(wèn)題。
集成了多種靜態(tài)代碼分析工具，并使用蜻蜓安全的編排系統(tǒng)進(jìn)行連接，使得掃描代碼更加全面和高效。

I使用了Bootstrap 5和ThinkPHP 6，使得它具有更好的可用性和易用性。最重要的是，Swallow是一款開(kāi)源的工具，可以幫助大家更好地了解代碼審計(jì)的流程和技術(shù)，吸引更多的開(kāi)發(fā)者和安全研究人員參與，不斷提升和改進(jìn)其功能和性能。

注意: fortify商業(yè)版本默認(rèn)不包含在swallow中,如果你已經(jīng)有fortify,需要把fortify路徑填寫(xiě)到配置里面去

查看原文,跳轉(zhuǎn)GitHub Swallow系統(tǒng)