freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Grepmarx:一款功能强大的应用程序源代码静态分析平台
2023-05-27 13:14:21
所属地 广西

关于Grepmarx

Grepmarx是一款功能强大的应用程序源代码静态分析平台,该平台专为应用程序安全研究人员设计,可以帮助我们快速了解、分析和识别大规模未知代码库中潜在的安全漏洞。

功能介绍

Grepmarx提供了以下SAST(静态分析安全测试)功能:

1、支持多种编程语言:C/C++、C#、Go、HTML、Java、Kotlin、JavaScript、TypeScript、OCaml、PHP、Python、Ruby、Bash、Rust、Scala、Solidity、Terraform、Swift;

2、支持多种框架:Spring、Laravel、Symfony、Django、Flask、Node.js、jQuery、Express、Angular;

3、已包含1600+现有的分析规则;

4、支持使用Semgrep语句轻松扩展分析规则:https://semgrep.dev/editor;

5、支持管理规则包中的规则以定制代码扫描;

Grepmarx提供了以下SCA(软件组成分析)功能:

1、支持多种包依赖格式:NPM、Maven、Gradle、Composer、pip、Gopkg、Gem、Cargo、NuPkg、CSProj、PubSpec、Cabal、Mix、Conan、Clojure、Docker、GitHub Actions、Jenkins HPI、Kubernetes;

2、SBOM生成;

其他功能:

1、提供了用于高效浏览扫描结果的分析工作台;

2、扫描未编译的代码;

3、代码行计数器;

4、检查器,用于自动发现应用程序功能;

5、暗黑模式;

工具执行

Grepmarx提供了预配置文件,可以允许广大研究人员在Docker和Gunicorn中直接使用Grepmarx。

Docker执行

请确保你已经在本地设备上安装并配置好了docker-composer,并运行了docker守护进程。

接下来,使用下列命令将该项目源码克隆至本地:

$ git clone https://github.com/Orange-Cyberdefense/grepmarx.git

$ cd grepmarx

在Docker中启动应用程序:

$ sudo docker-compose pull && sudo docker-compose build && sudo docker-compose up -d

在浏览器中访问http://localhost:5000,就可以看到Grepmarx正在运行了。

注意,第一次启动时默认的用户账号为admin/admin,请在登录后立即修改默认密码。

Gunicorn执行

首先,我们需要在本地设备上安装并配置好Python环境。

接下来,使用pip命令安装Gunicorn:

$ pip install gunicorn supervisor

使用Gunicorn启动Grepmarx:

$ supervisord -c supervisord.conf

在浏览器中访问http://localhost:8001后即可访问Grepmarx了。

注意,第一次启动时默认的用户账号为admin/admin,请在登录后立即修改默认密码。

工具运行截图

自定义扫描

分析工作台

规则包版本

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

Grepmarx:【GitHub传送门

参考资料

https://semgrep.dev/editor

https://www.docker.com/

https://gunicorn.org/

# 代码审计 # 应用程序安全 # 静态代码检测 # 代码安全检测
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录