一 背景

這個(gè)月的主要目標(biāo)是檢驗(yàn)蜻蜓的編排系統(tǒng)和優(yōu)化,我基于蜻蜓開發(fā)dolphin的ASM系統(tǒng),這兩周主要開發(fā)代碼審計(jì)系統(tǒng) swallow.

Swallow是一款開源的代碼審計(jì)工具，其底層集成了多種靜態(tài)代碼分析工具，如murphysec SCA啥寇、Fortify、SemGrep瞳秽、Hema(Webshell檢測)，通過蜻蜓安全的編排系統(tǒng)進(jìn)行連接率翅。同時(shí)上層UI使用了Bootstrap 5和ThinkPHP 6练俐。

二 工具介紹

[圖片上傳失敗...(image-147468-1679646636700)]

優(yōu)點(diǎn)

支持多種靜態(tài)代碼分析工具的集成，這意味著它可以更全面地發(fā)現(xiàn)代碼中的潛在漏洞和安全問題冕臭。例如腺晾，murphysec SCA可以幫助開發(fā)人員發(fā)現(xiàn)常見的安全漏洞燕锥，如SQL注入和跨站腳本攻擊；Fortify則可以發(fā)現(xiàn)更高級(jí)的漏洞悯蝉，如緩沖區(qū)溢出和代碼注入归形；而Hema和Webshell可以幫助發(fā)現(xiàn)Web應(yīng)用程序中的Webshell和惡意代碼。
[圖片上傳失敗...(image-ffc261-1679646636701)]
使用蜻蜓安全的編排系統(tǒng)進(jìn)行連接鼻由，這使得它更易于集成和使用暇榴。蜻蜓安全的編排系統(tǒng)可以將多個(gè)靜態(tài)代碼分析工具組合在一起，并按照用戶的需求對其進(jìn)行配置和管理蕉世。這使得Swallow可以輕松地掃描大量的代碼蔼紧，并在發(fā)現(xiàn)漏洞時(shí)提供有效的警告和建議。
[圖片上傳失敗...(image-85aa72-1679646636701)]
的上層UI使用了Bootstrap 5和ThinkPHP 6狠轻，這使得它具有更好的可用性和易用性奸例。Bootstrap是一種流行的前端框架，可以幫助開發(fā)人員快速創(chuàng)建漂亮哈误、響應(yīng)式的Web界面哩至。而ThinkPHP是一種流行的PHP框架躏嚎，可以幫助開發(fā)人員快速構(gòu)建Web應(yīng)用程序蜜自。Swallow的UI使用這兩種框架的組合，可以使得Swallow更易于使用卢佣，并提供更好的用戶體驗(yàn)重荠。

[圖片上傳失敗...(image-87845b-1679646636701)]
在安全工程師的角度來看，Swallow具有以下幾個(gè)優(yōu)點(diǎn)虚茶。首先可以幫助安全工程師發(fā)現(xiàn)代碼中的潛在漏洞和安全問題戈鲁。這可以使得安全工程師更加全面地評估代碼的安全性，并提供更有效的建議和措施嘹叫。

自定義配置

Swallow支持自定義配置婆殿，可以根據(jù)用戶的需求對靜態(tài)代碼分析工具進(jìn)行配置和管理。這使得安全工程師可以根據(jù)實(shí)際情況來選擇合適的工具罩扇，并將它們集成在一起婆芦。
還支持自定義規(guī)則，可以幫助安全工程師根據(jù)自己的經(jīng)驗(yàn)和知識(shí)來定制規(guī)則喂饥，并將它們應(yīng)用到靜態(tài)代碼分析中消约。
[圖片上傳失敗...(image-4488dc-1679646636701)]

擴(kuò)展性

Swallow可以與其他工具和系統(tǒng)進(jìn)行集成。例如员帮，它可以與Jenkins等持續(xù)集成工具集成或粮，實(shí)現(xiàn)自動(dòng)化代碼審計(jì)和漏洞檢測。此外還支持多語言捞高，可以支持Java氯材、PHP渣锦、Python等多種編程語言的代碼審計(jì)。

[圖片上傳失敗...(image-808c84-1679646636701)]

工具開源

Swallow是一款開源的工具氢哮，可以幫助大家更好地了解代碼審計(jì)的流程和技術(shù)泡挺。開源意味著Swallow的代碼可以被公開查看和修改，這使得安全工程師可以根據(jù)自己的需求和實(shí)際情況對其進(jìn)行定制和擴(kuò)展命浴。同時(shí)可以吸引更多的開發(fā)者和安全研究人員參與其中娄猫，從而使得它的功能和性能得到不斷的提升和改進(jìn)。

三 安裝方法

GitHub地址: https://github.com/StarCrossPortal/swallow

1. 一鍵部署控制臺(tái) docker-compose up -d
2. 瀏覽器打開地址:http://xx.xx.xx.xx:1890/

使用方法

1. 在設(shè)置中填寫蜻蜓配置,蜻蜓工作流模板為:http://qingting.starcross.cn/scenario/detail?id=2084
2. 在設(shè)置中添加主域名
3. 蜻蜓中點(diǎn)擊運(yùn)行工作流,或者設(shè)置工作流為周期運(yùn)行
4. 在swallow中查看數(shù)據(jù)

四 總結(jié)

總之 Swallow 可以幫助大家發(fā)現(xiàn)代碼中的潛在漏洞和安全問題生闲。
集成了多種靜態(tài)代碼分析工具媳溺，并使用蜻蜓安全的編排系統(tǒng)進(jìn)行連接，使得掃描代碼更加全面和高效碍讯。

I使用了Bootstrap 5和ThinkPHP 6悬蔽，使得它具有更好的可用性和易用性。最重要的是捉兴，Swallow是一款開源的工具蝎困，可以幫助大家更好地了解代碼審計(jì)的流程和技術(shù)，吸引更多的開發(fā)者和安全研究人員參與倍啥，不斷提升和改進(jìn)其功能和性能禾乘。

注意: fortify商業(yè)版本默認(rèn)不包含在swallow中,如果你已經(jīng)有fortify,需要把fortify路徑填寫到配置里面去

查看原文,跳轉(zhuǎn)GitHub Swallow系統(tǒng)