AutoSource自动化源代码审计框架

2019年5月31日00:01:03 发表评论

AutoSource

AutoSource是一款整合了SonarQube的自动化源代码审计框架,广大研究人员可以利用该工具来进行静态代码分析与审计。除此之外,在AutoSource的帮助下,我们还可以在SDLC(软件开发生命周期)的各个阶段中对目标项目进行高效率的漏洞扫描。代码扫描的过程也非常简单,我们只需要将给定的GIT代码库链接到框架中,AutoSource就可以完成剩下的自动化扫描任务了。

AutoSource框架目前支持在大部分常见计算机平台上执行源代码审计,其中包括macOS、Linux和Windows。

SonarQube仪表盘

AutoSource自动化源代码审计框架

自动化扫描过程:

AutoSource自动化源代码审计框架

工具安装

1、 使用下列命令将AutoSource框架代码库克隆到本地设备:

git clone https://github.com/Securityautomation/autoSource.git

2、 读取prerequisites.txt文件,并安装所有框架依赖组件。

3、 运行downloadSonar.py文件,该文件将下载并安装SonarQube框架,安装完成后可以直接在浏览器地址栏中输入“http://127.0.0.1:9000“来访问工具:

python3 downloadSonar.py

4、 接下来,运行executeScanner.py文件,该文将会要求你输入需要扫描的GIT代码库地址:

python3 executeScanner.py

5、 扫描完成后,可以直接访问下列地址来查看SonarQube界面:

http://127.0.0.1:9000

发表评论

后发表评论