freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Argus:针对GitHub Actions工作流的安全分析与增强工具
  • 关注
Argus:针对GitHub Actions工作流的安全分析与增强工具
2024-06-04 11:37:17

关于Argus

Argus是一款针对针对GitHub Actions工作流的安全分析与安全增强工具,旨在帮助广大研究人员检测并增强CI/CD工作流的安全性。该工具使用了非常复杂的安全分析技术,并利用了污点追踪技术和影响分类器以检测GitHub Actions工作流中的潜在安全问题。

Argus其实是 Audit Record Generation and Utilization System(审计记录生成与使用系统)的缩写,能对网络流量与数据进行高效、深入的分析。Argus可以筛选大量流量并快速全面的生成报告。不论是单一使用还是与其他工具共同使用,这个工具都可以提供坚实的协助。

功能介绍

1、污点追踪:Argus使用了复杂的算法来跟踪GitHub Actions工作流中潜在的不可信数据流,从而能够识别可能导致代码注入攻击的安全缺陷;

2、影响分类器:Argus将已识别的漏洞分为高、中和低严重级别,从而更清楚地了解每个已识别漏洞的潜在影响,这对于确定漏洞缓解工作的优先次序至关重要;

工具安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/purs3lab/Argus.git

Docker使用

除此之外,Argus还可以在一个Docker容器中运行,我们需要先安装好Docker和Docker-Compose:

apt-get -y install docker.io docker-compose

然后克隆项目代码库:

git clone https://github.com/purs3lab/Argus.git

构建Docker容器:

docker-compose build

现在,我们就可以使用下列命令在Docker容器中运行Argus了:

docker-compose run argus --mode {mode} --url {url to target repo}

扫描后的结果将存储在results目录中。

工具使用

下面给出的是工具脚本运行的标准命令示例:

python argus.py --mode [mode] --url [url] [--output-folder path_to_output] [--config path_to_config] [--verbose] [--branch branch_name] [--commit commit_hash] [--tag tag_name] [--action-path path_to_action] [--workflow-path path_to_workflow]

参数解析

--mode:设置操作模式,可选项为“repo”或“action”;(必选)

--url:目标GitHub URL地址,私有代码库的地址格式为“USERNAME:TOKEN@URL”;(必选)

--output-folder:输出目录路径,默认为“/tmp”;(可选)

--config:配置文件路径;(可选)

--verbose:开启Verbose模式,默认为“INFO”模式;(可选)

--branch:代码库分支名称,可选项为“--branch”、“--commit”和“--tag”;(可选)

--commit:commit哈希,可选项为“--branch”、“--commit”和“--tag”;(可选)

--tag:设置标签,可选项为“--branch”、“--commit”和“--tag”;(可选)

--action-path:GitHub Action的相对路径,无法在“repo”模式下使用“--action-path”;(可选)

--workflow-path:工作流的相对路径,无法在“action”模式下使用“--workflow-path”;(可选)

工具使用样例

下面的命令可以与一个GitHub代码库交互,并对其分支进行扫描:

python argus.py --mode repo --url https://github.com/username/repo.git --branch master

许可证协议

本项目的开发与发布遵循GPL开源许可协议。

项目地址

Argus:【GitHub传送门

参考资料

https://secureci.org/argus

https://microsoft.github.io/sarif-web-component/

https://marketplace.visualstudio.com/items?itemName=MS-SarifVSCode.sarif-viewer

# 安全扫描 # github # GitHub Actions # GitHub扫描 # GitHub安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
关于Argus
    功能介绍
      工具安装
      • Docker使用
      工具使用
      • 参数解析
      工具使用样例
        许可证协议
          项目地址
            参考资料