Grepmarx是一款功能强大的应用程序源代码静态分析平台,该平台专为应用程序安全研究人员设计,可以帮助我们快速了解、分析和识别大规模未知代码库中潜在的安全漏洞。
Grepmarx提供了以下SAST(静态分析安全测试)功能:
1、支持多种编程语言:C/C++、C#、Go、HTML、Java、Kotlin、JavaScript、TypeScript、OCaml、PHP、Python、Ruby、Bash、Rust、Scala、Solidity、Terraform、Swift;
2、支持多种框架:Spring、Laravel、Symfony、Django、Flask、Node.js、jQuery、Express、Angular;
3、已包含1600+现有的分析规则;
4、支持使用Semgrep语句轻松扩展分析规则:https://semgrep.dev/editor;
5、支持管理规则包中的规则以定制代码扫描;
Grepmarx提供了以下SCA(软件组成分析)功能:
1、支持多种包依赖格式:NPM、Maven、Gradle、Composer、pip、Gopkg、Gem、Cargo、NuPkg、CSProj、PubSpec、Cabal、Mix、Conan、Clojure、Docker、GitHub Actions、Jenkins HPI、Kubernetes;
2、SBOM生成;
其他功能:
1、提供了用于高效浏览扫描结果的分析工作台;
2、扫描未编译的代码;
3、代码行计数器;
4、检查器,用于自动发现应用程序功能;
5、暗黑模式;
Grepmarx提供了预配置文件,可以允许广大研究人员在Docker和Gunicorn中直接使用Grepmarx。
请确保你已经在本地设备上安装并配置好了docker-composer,并运行了docker守护进程。
接下来,使用下列命令将该项目源码克隆至本地:
$ git clone https://github.com/Orange-Cyberdefense/grepmarx.git
$ cd grepmarx
(向右滑动,查看更多)
在Docker中启动应用程序:
$ sudo docker-compose pull && sudo docker-compose build && sudo docker-compose up -d
(向右滑动,查看更多)
在浏览器中访问http://localhost:5000,就可以看到Grepmarx正在运行了。
注意,第一次启动时默认的用户账号为admin/admin,请在登录后立即修改默认密码。
首先,我们需要在本地设备上安装并配置好Python环境。
接下来,使用pip命令安装Gunicorn:
$ pip install gunicorn supervisor
使用Gunicorn启动Grepmarx:
$ supervisord -c supervisord.conf
在浏览器中访问http://localhost:8001后即可访问Grepmarx了。
注意,第一次启动时默认的用户账号为admin/admin,请在登录后立即修改默认密码。
本项目的开发与发布遵循MIT开源许可证协议。
Grepmarx:
【https://github.com/Orange-Cyberdefense/grepmarx】
https://semgrep.dev/editor
https://www.docker.com/
https://gunicorn.org/