Grepmarx:一款功能强大的应用程序源代码静态分析平台
2023-6-3 09:43:2 Author: FreeBuf(查看原文) 阅读量:27 收藏

 关于Grepmarx 

Grepmarx是一款功能强大的应用程序源代码静态分析平台,该平台专为应用程序安全研究人员设计,可以帮助我们快速了解、分析和识别大规模未知代码库中潜在的安全漏洞。

 功能介绍 

Grepmarx提供了以下SAST(静态分析安全测试)功能:

1、支持多种编程语言:C/C++、C#、Go、HTML、Java、Kotlin、JavaScript、TypeScript、OCaml、PHP、Python、Ruby、Bash、Rust、Scala、Solidity、Terraform、Swift;

2、支持多种框架:Spring、Laravel、Symfony、Django、Flask、Node.js、jQuery、Express、Angular;

3、已包含1600+现有的分析规则;

4、支持使用Semgrep语句轻松扩展分析规则:https://semgrep.dev/editor;

5、支持管理规则包中的规则以定制代码扫描;

Grepmarx提供了以下SCA(软件组成分析)功能:

1、支持多种包依赖格式:NPM、Maven、Gradle、Composer、pip、Gopkg、Gem、Cargo、NuPkg、CSProj、PubSpec、Cabal、Mix、Conan、Clojure、Docker、GitHub Actions、Jenkins HPI、Kubernetes;

2、SBOM生成;

其他功能:

1、提供了用于高效浏览扫描结果的分析工作台;

2、扫描未编译的代码;

3、代码行计数器;

4、检查器,用于自动发现应用程序功能;

5、暗黑模式;

 工具执行 

Grepmarx提供了预配置文件,可以允许广大研究人员在Docker和Gunicorn中直接使用Grepmarx。

Docker执行

请确保你已经在本地设备上安装并配置好了docker-composer,并运行了docker守护进程。

接下来,使用下列命令将该项目源码克隆至本地:

$ git clone https://github.com/Orange-Cyberdefense/grepmarx.git$ cd grepmarx

(向右滑动,查看更多

在Docker中启动应用程序:

$ sudo docker-compose pull && sudo docker-compose build && sudo docker-compose up -d

(向右滑动,查看更多)

在浏览器中访问http://localhost:5000,就可以看到Grepmarx正在运行了。

注意,第一次启动时默认的用户账号为admin/admin,请在登录后立即修改默认密码。

Gunicorn执行

首先,我们需要在本地设备上安装并配置好Python环境。

接下来,使用pip命令安装Gunicorn:

$ pip install gunicorn supervisor

使用Gunicorn启动Grepmarx:

$ supervisord -c supervisord.conf

在浏览器中访问http://localhost:8001后即可访问Grepmarx了。

注意,第一次启动时默认的用户账号为admin/admin,请在登录后立即修改默认密码。

 工具运行截图 

自定义扫描

分析工作台

规则包版本

 许可证协议 

本项目的开发与发布遵循MIT开源许可证协议。

 项目地址 

Grepmarx

https://github.com/Orange-Cyberdefense/grepmarx

https://semgrep.dev/editor

https://www.docker.com/

https://gunicorn.org/


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651227431&idx=4&sn=6574795ab68b7dcad907a731887fa741&chksm=bd1d17ac8a6a9eba832bf8f9b7efb6e9c1874a8ec317c7cb52f5a088574c98285b966d60e3f4#rd
如有侵权请联系:admin#unsafe.sh