AutoSource:整合SonarQube的自动化源代码审计框架

最新推荐文章于 2024-05-16 18:20:04 发布
最新推荐文章于 2024-05-16 18:20:04 发布
阅读量621 收藏
点赞数

今天给大家介绍的这款开源工具名叫AutoSource,它是一款整合了SonarQube的自动化源代码审计框架。

AutoSource :整合SonarQube的自动化源代码审计框架

AutoSource

AutoSource是一款整合了SonarQube的自动化源代码审计框架,广大研究人员可以利用该工具来进行静态代码分析与审计。除此之外,在AutoSource的帮助下,我们还可以在SDLC(软件开发生命周期)的各个阶段中对目标项目进行高效率的漏洞扫描。代码扫描的过程也非常简单,我们只需要将给定的GIT代码库链接到框架中,AutoSource就可以完成剩下的自动化扫描任务了。

AutoSource框架目前支持在大部分常见计算机平台上执行源代码审计,其中包括macOS、Linux和Windows。中国菜刀

工具安装

1、 使用下列命令将AutoSource框架代码库克隆到本地设备:

git clone https://github.com/Securityautomation/autoSource.git

2、 读取prerequisites.txt文件,并安装所有框架依赖组件。

3、 运行downloadSonar.py文件,该文件将下载并安装SonarQube框架,安装完成后可以直接在浏览器地址栏中输入“http://127.0.0.1:9000“来访问工具:天空彩

python3 downloadSonar.py

4、 接下来,运行executeScanner.py文件,该文将会要求你输入需要扫描的GIT代码库地址:

python3 executeScanner.py

5、 扫描完成后,可以直接访问下列地址来查看SonarQube界面:

http://127.0.0.1:9000

工具运行截图

下载SonarQube和SonarScanner:

AutoSource :整合SonarQube的自动化源代码审计框架

SonarQube运行:

AutoSource :整合SonarQube的自动化源代码审计框架

运行扫描器

AutoSource :整合SonarQube的自动化源代码审计框架

自动化扫描过程:

AutoSource :整合SonarQube的自动化源代码审计框架

扫描成功:

AutoSource :整合SonarQube的自动化源代码审计框架

SonarQube仪表盘:

AutoSource :整合SonarQube的自动化源代码审计框架

项目地址

AutoSource:【GitHub传送门

systemino
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
自动化代码审计工具
weixin_30756499的博客
07-14 3386
三款自动化代码审计工具 0×01 简介 工欲善其事,必先利其器。 在代码的静态安全审计中,使用自动化工具代替人工漏洞挖掘,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。在学习PHP代码审计的过程中,本人搜集使用了多款自动化工具。本文将简要介绍其中三款比较实用的工具:RIPS、VCG、Fortify SCA。 RIPS是一款开...
静态代码分析工具
人无远虑,必有近忧
06-11 704
SAST,即静态应用程序安全测试,通过静态代码分析工具对代码进行自动化检测,从而快速发现代码中的安全缺陷。 本文是一个静态代码分析工具清单,收集了一些免费开的项目,可从检测效率、支持的编程语言、第三方工具集成等几因素来综合考虑如何选择SAST工具。 1、RIPS 一款不错的静态代码分析工具,主要用来挖掘PHP程序的漏洞。 项目地址: http://rips-scanner.sourceforge.net 2、SonarQube 一款企业级代码静态分析工具,支持Java、PHP.
Python开发必备:SonarQube 9.9 LTS版本迎来强大Python分析器
m0_59657800的博客
06-09 695
是为了适应URL格式的变化。Sonar投入了大量的精力来确保只提出真正的问题,我们的开发人员一直在审查Python规则提出的问题,以确保它们是准确而相关的。SonarQube 9.9 LTS从Typeshed中提取数据,并具有更好的性能(仅计算一次符号,作为SonarQube的一部分提供,而不是在每次分析时计算),从而获得了性能更好、结果更好的分析。在SonarQube 9.9 LTS中,增加了对Python 3.10和3.11的支持,解析了新的结构,如match语句的多种模式和except*语法。
开发软件自动化运行脚本的常用代码分享!
最新发布
v___SJGLXT的博客
05-16 1318
总之,自动化运行脚本是软件开发中不可或缺的一部分,通过学习和应用这些代码示例,我们可以更好地理解自动化运行脚本的原理和实现方式,从而在实际开发中灵活运用它们,提高软件开发的效率和质量。
linux内核3.4基于wakeup_sourceautosleep机制分析
Focus on the Linux kernel
11-24 5977
一:wakeup_source简介:     linux 3.4内核PM使用了wakeup_source来保持唤醒状态,也就是keep awake。之前android一直是基于Linux加入了wake_lock机制来阻止系统休眠,后来Linux 3.4内核加入了wakeup_source来管理,安卓4.4跟着升级内核也就摒弃了自己的臃肿的wake_lock机制,在对上层接口并不改变,在内核wak
最全接口自动化如何做?Python接口自动化测试框架实现(码),2024年软件测试春招面试经历
2401_84562210的博客
05-11 314
db.py: 数据层-数据库连接log.py: 数据层-log配置send_email.py: 数据层-邮件服务器连接case/case.py: 业务逻辑层, 为用例执行封装方法case/user/test_user.py: 表示层: 测试用例脚本。
play-autosource:播放自动来
06-26
实验/草案播放自动来用于引导 Play 框架应用程序的自动完整 REST + 类型安全 CRUD 抽象数据可用于: ( play-autosource:reactivemongo:2.0-SNAPSHOT ) 基于 Mathieu Ancelin 的 ( play-autosource:couchbase:2.0...
自动化自动化
02-10
自动化 自动化
连续自动化自动化
02-07
连续自动化自动化
自动化码ah
04-02
自动化码ah
自动化码ai
04-02
自动化码ai
浅谈PHP自动化代码审计技术
Exploit的小站~
04-10 1万+
 0x00 由于博客实在没什么可以更新的了,我就把目前做的事情总结一下,当做一篇博客,主要是谈一谈项目中所运用的一些技术。目前市面上有不少PHP的自动化审计工具,开的有RIPS、Pixy,商业版本的有Fortify。RIPS现在只有第一版,由于不支持PHP面向对象分析,所以现在来看效果不是太理想。Pixy是基于数据流分析的工具,但是只支持PHP4。而Fortify是商业版本,由于这个限制
自动化代码审计系统
07-04 809
代码审计系统 https://github.com/yingshang/banruo 该系统是使用python3的django去开发,队列使用celery+redis,最后调用代码审计工具fortify进行审计代码。 参考文章: [甲方安全建设之路]自动化代码审计系统 https://www.cnblogs.com/sevck/p/10432981.html 第三...
自动化编译
ymzhou117的专栏
04-27 555
今天参考博客中转载的文章,写了一个自动编译驱动的批处理文件,目前只是一个中间产品,明天继续...@echo onSET _WINCEROOT=J:/WINCE500SET _BSPNAME=mini2440SET _FILENAME=mini2440SET _OSDESIGNCONFIG=Mini2440 from FriendlyARM: ARMV4I_ReleaseSET _PBROOT=
Unity声音-音组件
weixin_30462049的博客
12-13 843
组件(AudioSource) 音是场景中在某个位置的发声装置,好像一个喇叭。它播放着音频片段 (Audio Clip)。 发出的声音将输出到声音监听器(audio listener),或者声音混淆器(audio mixer)。稍后再说混淆器,一般相机会默认自带一个AudioListener组件,也就是说一个场景中,存在了默认相机的情况下,我们只要添加一个音,设置了播放的音频片段,就可...
android auto open source,AndroidAutoTrack
weixin_32506743的博客
05-28 144
本项目主要就是给大家一个参考学习的 demo 而已,主要是打算简化学习 gradle 插件的成本,以及对于android transform的一次抽象,将增量更新等等进行一次抽象,以方便大家学习开发。buildSrc 优化之前通过 buildSrc 形式重构项目,不需要本地推 aar,同时 module 可以被同一个 buildSrc 关联上,方便调试和代码上传。ComposeBuilding 优...
Unity的声音 —— AudioSource 和 AudioListener
热门推荐
vv_017的博客
03-22 2万+
Unity的声音 —— AudioSource 和 AudioListener AudioSource AudioSource 是 Unity 中的 Audio 组件,其主要用来播放游戏场景中的 AudioClip,AudioClip 就是导入到 Unity 中的声音文件。Unity 可导入的音频文件格式有 .aif,.wav,.mp3和.ogg。此外,Audio Source 还可以设置...
代码审计sonarqube实战
果果的博客
09-23 709
介绍: 1.sonar是一款静态代码质量分析工具,支持Java、Python、PHP、JavaScript、CSS等25种以上的语言,而且能够集成在IDE、Jenkins、Git等服务中,方便随时查看代码质量分析报告; 2.sonar通过配置的代码分析规则,从可靠性、安全性、可维护性、覆盖率、重复率等方面分析项目,风险等级从A~E划分为5个等级; 同时,sonar可以集成pmd、findbugs、checkstyle等插件来扩展使用其他规则来检验代码质量; 组成: 1.一台SonarQube Serve
在阿里云环境下搭建基于SonarQube自动化安全代码检测平台
weixin_33966095的博客
01-13 1260
一、背景和目的 近年来,随着新业务、新技术的快速发展,应用软件安全缺陷层出不穷。虽然一般情况下,开发者基本都会有单元测试、每日构建、功能测试等环节来保证应用的可用性。但在安全缺陷方面,缺乏安全意识、技能和工具,最终导致了安全缺陷的出现。 对于软件开发安全意识和软件开发安全技能方面本文中不再做详述,软件开发者可通过培训和实践提高自身意识和技能,我主要从...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值