蜻蜓:GitLab结合fortify实现自动化扫描实践

一、背景

在甲方做安全的同学可能会有一项代码审计的工作，通常需要从gitlab把代码拉取下来，然后使用代码审计工具进行扫描，然后对结果进行人工确认；

在这个流程中需要做的事情比较繁琐，比如说gitlab如何配置token、如何自动化把代码拉取到本地、如何调用fortify实现批量扫描等诸多繁琐问题。

本篇文章以甲方安全代码安全建设为主线，分享如何让代码审计工具自动化扫描gitlab仓库里的代码。并且提供了一个便捷的实验环境供大家测试。

本文实验中调用了多款代码审计工具（包含semgrep、fortify、墨菲、河马，其中fortify软件属于商业性质，本文章无法提供该软件，如需自备此软件并存放在主机/data/share/fortify目录），完成试验后可以看到各代码审计工具的效果对比。

二、准备环境

为了方便大家，我把我的实验gitlab地址直接共享出来，大家可以优先使用此共享环境。

arduino复制代码URL：http://123.249.6.139:1880/
用户名：root
密码：qingtingtest
token：glpat-SMsSWy6xzB4x8B6rFryB

【一一帮助安全学习，所有资源获取处一一】

①网络安全学习路线

②20份渗透测试电子书

③安全攻防357页笔记

④50份安全攻防面试指南

⑤安全红队渗透工具包

⑥网络安全必备书籍

⑦100个漏洞实战案例

⑧安全大厂内部视频资源

⑨历年CTF夺旗赛题解析

配置gitlab环境

为了真实模拟fortify扫描gitlab仓库的代码，我需要快速搭建一个gitlab仓库，这里实验docker的方式最为简单，只需要执行以下的命令

bash

复制代码docker run --detach --hostname gitlab.thinkpad --publish 8443:443 --publish 880:80 --publish 222:22 --name gitlab --restart always --volume /data/gitlab/config:/etc/gitlab --volume /data/gitlab/logs:/var/log/gitlab --volume /data/gitlab/data:/var/opt/gitlab gitlab/gitlab-ce

命令执行之后，docker会自动拉取docker镜像，并创建一个gitlab的容器，服务启动之后会随机生成一个root用户的密码，可以通过以下命令查看root用户的初始化密码

bash

复制代码docker exec -it gitlab grep 'Password:' /etc/gitlab/initial_root_password

命令执行之后，可以在终端中看到如下所示密码

bash

复制代码Password: UnSoOs7l8YN6dYDQRP/1/dzpKswF7dq7fpyhKBey95A=

现在可以使用浏览器访问gitlab的页面，访问地址是http://x.x.x.x:880/，然后浏览器会自动跳转到登录页面，如下图所示

在登录页面，我们在用户名处输入root，密码处输入刚才得到的密码；登录成功之后会自动跳转到工作台的首页，如下图所示。

创建API访问的token

为了让fortify能够访问到gitlab仓库的代码，我们需要创建一个token，用于API访问；在头像位置展开下拉菜单，选择preferences->Access Tokens ,填下相关参数，界面如下所示

创建完成，把生成的token复制出来，后续要用到

复制代码glpat-ggjo6Z6aQXWCZ2FNJcsz

gitlab搭建完后，默认里面有一个空项目，fortify无法扫除有价值的漏洞，为了方便测试，需要在新建项目的位置导入项目进去，打开URL地址 http://10.1.1.140:880/projects/new#import_project,然后选择Repository by URL，然后填入一个可以被拉取的仓库地址，这里我提供一个供大家实验，如下图所示

arduino

复制代码https://gitee.com/songboy/QingScan

导入项目之后，gitlab会自动拉取代码到服务器，如下图所示

三、配置参数

现在已经有了gitlab的实验环境，可以正式开始做实验，首先打开蜻蜓的市场页面，URL地址如下

arduino

复制代码http://qingting.starcross.cn/scenario/store

可能会提示要求登录，如果是首次进入蜻蜓安全控制台，扫描登录之后会自动注册

然后需要在服务器执行添加节点的shell命令，按照提示进行操作即可，如下图所示

现在回到市场页面，找到快速挖掘0day漏洞，在下方有个按钮，添加到工作流，如下图所示

添加到工作流之后，会看到工作流的信息，这里可以把gitlab的配置信息填写进去，需要点击进入编排流程，如下图所示

在编排工作流页面，上方有一个设置全局变量的小图标,按照提示配置必要参数，如下图所示

四、运行程序

运行全局变量完成之后，可以右键点击第一个节点，再次点估运行选项，就可以运行这个工作流，运行过程中节点状态会发生变化

节点会按照自上而下运行，运行过程中状态图标会一直旋转，当运行完成时，可以看到成功的小图标

运行完成之后，可以去数据中心查看运行结果，可以根据节点和任务ID等方式筛选，如下图所示

我选中fortify代码扫描节点，筛选出来的列表页面如下所示

在列表页面只展示了一小部分数据，可以点击查看按钮，在详情页查看详细的漏洞信息，用于审计标注，如下图所示。

上面节点的代码已经在GitHub中开源，有需要的小伙伴也可以在GitHub

arduino

复制代码https://github.com/StarCrossPortal/QingTing

GitHub地址：[github.com/StarCrossPo…]

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，如果你对网络安全入门感兴趣，需要的话可以在下方