因為支援OWASP TOP 10的檢測,所以這是一個符合客戶需求又能與Visual studio結合的工具(白話說...交差了事矣....)
更重要的是這不用錢....檢測工具都貴森森的,尤其是源碼檢測工具。
https://marketplace.visualstudio.com/items?itemName=PumaSecurity.PumaScan#overview
Diagnostic extension for
the .NET Compiler Platform ("Roslyn") that performs static code analysis
for vulnerabilities identified in the OWASP Top 10, SANS/CWE Top 25,
and other common insecure coding patterns.
Current analysis categories:
- Insecure Configuration
- SQL Injection
- LDAP Injection
- Path Tampering
- Weak Password Configuration
- Unvalidated Redirects
- Cross-Site Scripting
- Cross-Site Request Forgery
- Weak Input Validation
- Insecure Cryptography
- Deserialization Vulnerabilities
puma scan針對Roslyn且只適用在VS2015以上的版本,安裝方式可以參考
https://www.pumascan.com/installation.html#installation
VSIX>>在Online > Visual Studio Galley, search for “Puma Scan”
NuGet>>在Tools > NuGet Package Manager > Package Manager Console輸入
Get-Project -All | Install-Package Puma.Security.Rules如果只裝了VSIX,則要針對單一專案進行分析時,就在專案按右鍵>>Analyze>>Run Code Analysis。分析後的結果會顯示在Output window。Error List Window 也會條列出。
如果想要匯出好看一點的報告,可以下載安裝 Error List Manager 2 (ELM2)
方便在Error List Window匯出HTML、EXCEL、PDF的報告,雖然陽春且無法選擇匯出欄位,但總比直將將output複製貼上存成文字檔要來得好。
分析的Puma.Security.Rules 可以自行勾選, 檢測的原則可以參考
https://www.pumascan.com/rules.html
初步研究到此,接下來困難的是要看懂檢測的結果以及條列高中低的等級。
唉哎.....好多的warning............................
沒有留言:
張貼留言