[甲方安全建设之路]自动化代码审计系统

在甲方安全建设的过程中,除了项目上线外需要经过黑盒的安全测试,还需要在整个SDL进行建设。

因为单单只是黑盒测试的点是有限的,但是如果内部内置了一个后门,不能够及时的发现。

如果从0开始去写可能会浪费很多的时候,也不想再去重复造轮子,于是调研了一些开源中比较好的扫描工具,然后花了几天的时候,写了一个简单的在线代码审计系统平台。

在看了lijiejie在爱奇艺中使用的代码审计系统(详情请看爱奇艺安全攻防实践议题分享)

技术栈如下:

扫描使用了openstack的bandit

前端使用了layui

后端使用django

数据存储层mysql

界面如下:

在调研用哪一款时参考了比较不错的文章,推荐下。

https://paper.tuisec.win/detail/e03fb4d6934054b

原文地址:https://www.cnblogs.com/sevck/p/10432981.html

时间: 2024-07-31 07:43:54

[甲方安全建设之路]自动化代码审计系统的相关文章

自动化代码审计系统

代码审计系统 https://github.com/yingshang/banruo 该系统是使用python3的django去开发,队列使用celery+redis,最后调用代码审计工具fortify进行审计代码. 参考文章: [甲方安全建设之路]自动化代码审计系统 https://www.cnblogs.com/sevck/p/10432981.html 第三方引擎SonarQube 参考文章: 代码自动化扫描系统的建设 http://www.sohu.com/a/251981038_684

中台建设之路(一)

一.概述  我在上一篇文章讲解了什么是中台,今天我就中台怎么建设给大家分享一些我的思考.关于中台的科普见上一篇文章. 二.中台种类及中台与平台的区别  现如今各种中台层出不群,如技术中台.业务中台.数据中台.安全中台.算法中台.移动中台.AI中台.研发中台.组织中台等,我们撇开这些概念,回归到中台的本质,中台的本质是什么,本质是能力复用平台或者企业级能力复用平台,是共性问题与个性问题的分离,在阿里巴巴提出中台概念之前,在IT行业一直有厚平台.薄应用的说法,我认为两者要表达的意思大体是一样的,平台

走近华佗,解析自动化故障处理系统背后的秘密

集群医生华佗是集群自动化故障监测和处理系统,是平台和运维对接的关键系统.一方面完成飞天其他组件不擅长的OS和硬件的故障自动监测和处理,另一方面推动飞天去及时规避硬件和OS引起的故障,使得故障能够闭环运转,大幅度减少故障处理成本和造成的影响.飞天5K项目期间的规模效应凸显出自动化处理故障的必要性,大幅提升了飞天平台的稳定性,提高了运维人员的幸福感.华佗在飞天中的位置如图1所示. 由来 2011年底和2012年初,飞天系统的通信系统使用的是夸父,夸父通过Agent代理负责本机所有的网络通信,如果机器

利用DHCP,http,tftp,pxe实现纯自动化安装系统

一.实现原理所需要的服务简单介绍1.DHCP:动态主机配置协议,用于内部网络自动分配IP地址2.tfpt:简单的网络共享服务,类似于ftp3.pxe:支持远程主机通过网络从远端服务器下载映像,并由此支持通过网络启动操作系统4.http:超文本传输协议,通过网络共享文本(这里也可以使用ftp服务)实现过程1.客户端(没有装系统的计算机)通过在局域网内寻找DHCP服务器2.DHCP服务器回应,发送IP地址给该客户端并且告诉该客户端下一步寻找哪一个服务器,也就是TFTP3.客户端向TFTP要BootL

自动化监控系统(三) 搭建xadmin做网站后台

Django有个自带的admin后台,不过界面不怎么好看,这里我用xadmin 我的python版本是3.5,可以使用支持py3的xadmin:https://github.com/sshwsfc/xadmin xadmin部署步骤: 1.把xadmin整个目录拷贝到项目里面 2.需要安装的依赖包: django~=1.9.0django-crispy-forms~=1.6.0django-reversion~=2.0.0django-formtools==1.0future==0.15.2ht

基于cobbler实现自动化安装系统

基于cobbler实现自动化安装系统 环境介绍 centos6.8 为centos6.8提供两块网卡 (非必要) 一块为桥接,方便xshell连接和测试 一块为vmnet3:用来搭建dhcp,tftp,和为客户端提供cobbler服务 前提,(确保安装TFTP,dhcp,rsync) # yum install httpd cobbler cobbler-web pykickstart debmirror 1.启动对应的服务 # service httpd start # service cob

购物网站建设 微信三级分销网站系统开发

专业团队,定制购物网站建设 微信三级分销网站系统开发 服务器选择:  服务器购买地址:http://www.erduyun.com/services/cloudhost/域名购买地址:http://www.erduyun.com/services/domain/<ignore_js_op> [服务与售后]1.为了更好的为客户服务,我们实行全方位一条龙服务, 包括如下内容:   A.服务器.域名.支付.公众号等信息的准备,,我们全部搞定.   B.软件平台部署.测试.上线.   C.系统售后维护

使用cobbler自动化部署系统

一.Cobbler简介 Red Hat 最新(Cobbler项目最初在2008年左右发布)发布了网络安装服务器套件 Cobbler(补鞋匠),它已将 Linux 网络安装的技术门槛,从大专以上文化水平,成功降低到初中以下,连补鞋匠都能学会.I am just joking! 二.Cobbler功能特性 使用 Cobbler,您无需进行人工干预即可安装机器.Cobbler 设置一个 PXE 引导环境(它还可使用 yaboot 支持 PowerPC),并控制与安装相关的所有方面,比如网络引导服务(D

linux学习之路之日志系统

日志系统 日志系统是用来存放系统在执行任务过程中产生的讯息或者是执行时产生的错误日志信息都存放在日志系统里.由于Linux系统上面会同时开启多个服务或者子系统,因此为了便于查看或者管理它们产生的日志信息,我们一般将不同的子系统或者服务产生的日志信息根据级别不同放在不同的配置文件中或者主机中. 在RHEL 5上,使用的日志系统是syslog 而在RHEL 6上,使用的日志系统是syslog-ng这是一款开源系统 要想使用syslog日志系统,必须要确保syslog服务一直在运行.而syslog服务