freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

安全研究 | 使用Horusec仅需一行命令即可扫描项目中的安全漏洞
  • 关注
安全研究 | 使用Horusec仅需一行命令即可扫描项目中的安全漏洞
2021-03-11 15:07:20

Horusec是什么?

Horusec是一款功能强大的开源工具,它可以帮助广大研究人员执行静态代码分析,以识别开发过程中的安全缺陷。目前,Horusec支持分析的语言有:C#、Java、Kotlin、Python、Ruby、Golang、Terraform、Javascript、Typescript、Kubernetes、PHP、C、HTML、JSON、Dart。该工具可以在项目的所有文件以及Git历史记录中搜索密钥泄漏和安全漏洞。Horusec可以由开发人员通过命令行接口使用,也可以由DevSecOps团队在CI/CD mats上使用。

Horusec完整体系架构

工具安装

下载并安装最新版本代码:

curl -fsSL https://horusec.io/bin/install.sh | bash

下载并安装指定版本代码:

curl -fsSL https://horusec.io/bin/install.sh | bash -s v1-0-0

可选的操作系统包括:

linux_x86, linux_x64, mac_x64, win_x86, win_x64

手动下载windows x64代码:

curl "https://horusec.io/bin/latest/win_x64/horusec.exe" -o "./horusec.exe" && ./horusec.exe version

手动下载linux x64代码:

curl "https://horusec.io/bin/latest/linux_x64/horusec" -o "./horusec" && chmod +x ./horusec && ./horusec version

手动下载macOS x64代码:

curl "https://horusec.io/bin/latest/mac_x64/horusec" -o "./horusec" && chmod +x ./horusec && ./horusec version

Docker镜像

我们还提供了专门的Docker镜像,可用于替换项目源码使用。使用样例如下:

docker run -v /var/run/docker.sock:/var/run/docker.sock -v {path of project in host}:/src/horusec-vscode horuszup/horusec-cli:latest horusec start -p /src/horusec-vscode -P {path of project in host}

安装检测

horusec version

horusec-cli使用要求

  • Docker
  • git

工具使用

下列命令运行后即可使用horusec-cli并检查项目中的安全漏洞:

horusec start

或者,发送授权认证令牌来查看Horusec管理员面板中的分析内容:

horusec start -a="<YOUR_TOKEN_AUTHORIZATION>"

本地使用

如需在本地使用Horusec,首先需要将该项目源码克隆至本地:

git clone https://github.com/ZupIT/horusec.git

然后运行下列命令即可使用horusec-cli进行分析了:

make install

默认开发账号

如需使用Horusec的完整功能,我们可以直接使用默认用户账号进行登录:

email: dev@example.com

  password: Devpass0*

本地使用要求

docker

git

docker-compose/helm

golang

rabbitmq

postgres

邮件账号(可选)

支持的命令

Horusec支持的命令下表所示:

命令

描述

generate

此命令在当前路径中创建配置文件,如果存在新密钥,则更新(不删除当前密钥)

start

此命令使用默认值在当前目录中启动分析

version

你可以看到在本地计算机上运行的实际版本

工具使用样例

简单使用:

horusec start

使用其他目录:

horusec start -a="REPOSITORY_TOKEN" -p="/home/user/project"

忽略指定目录或路径:

horusec start -p="/home/user/project" -a="REPOSITORY_TOKEN" -i="./node_modules,./vendor,./public, **/*test.go"

获取JSON格式输出:

horusec start -p="/home/user/project" -a="REPOSITORY_TOKEN" -o="json" -O="./output.json"

演示样例

项目地址

Horusec:【GitHub传送门

参考资料

https://horusec.io/docs

https://github.com/ZupIT/horusec-vscode-plugin

https://github.com/ZupIT/horusec/blob/master/horusec-cli#installing

https://github.com/ZupIT/horusec/blob/master/horusec-cli#horusec-cli


# 漏洞扫描 # 漏洞管理 # 安全开发
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
Horusec是什么?
    Horusec完整体系架构
      工具安装
        Docker镜像
          安装检测
            horusec-cli使用要求
              工具使用
              • 本地使用
              • 默认开发账号
              • 本地使用要求
              支持的命令
                工具使用样例
                  演示样例
                    项目地址
                      参考资料