freeBuf
主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

安全研究 | 使用Horusec仅需一行命令即可扫描项目中的安全漏洞
  • 关注
安全研究 | 使用Horusec仅需一行命令即可扫描项目中的安全漏洞
2021-03-11 15:07:20

Horusec是什么?

Horusec是一款功能强大的开源工具,它可以帮助广大研究人员执行静态代码分析,以识别开发过程中的安全缺陷。目前,Horusec支持分析的语言有:C#、Java、Kotlin、Python、Ruby、Golang、Terraform、Javascript、Typescript、Kubernetes、PHP、C、HTML、JSON、Dart。该工具可以在项目的所有文件以及Git历史记录中搜索密钥泄漏和安全漏洞。Horusec可以由开发人员通过命令行接口使用,也可以由DevSecOps团队在CI/CD mats上使用。

Horusec完整体系架构

工具安装

下载并安装最新版本代码:

curl -fsSL https://horusec.io/bin/install.sh | bash

下载并安装指定版本代码:

curl -fsSL https://horusec.io/bin/install.sh | bash -s v1-0-0

可选的操作系统包括:

linux_x86, linux_x64, mac_x64, win_x86, win_x64

手动下载windows x64代码:

curl "https://horusec.io/bin/latest/win_x64/horusec.exe" -o "./horusec.exe" && ./horusec.exe version

手动下载linux x64代码:

curl "https://horusec.io/bin/latest/linux_x64/horusec" -o "./horusec" && chmod +x ./horusec && ./horusec version

手动下载macOS x64代码:

curl "https://horusec.io/bin/latest/mac_x64/horusec" -o "./horusec" && chmod +x ./horusec && ./horusec version

Docker镜像

我们还提供了专门的Docker镜像,可用于替换项目源码使用。使用样例如下:

docker run -v /var/run/docker.sock:/var/run/docker.sock -v {path of project in host}:/src/horusec-vscode horuszup/horusec-cli:latest horusec start -p /src/horusec-vscode -P {path of project in host}

安装检测

horusec version

horusec-cli使用要求

  • Docker
  • git

工具使用

下列命令运行后即可使用horusec-cli并检查项目中的安全漏洞:

horusec start

或者,发送授权认证令牌来查看Horusec管理员面板中的分析内容:

horusec start -a="<YOUR_TOKEN_AUTHORIZATION>"

本地使用

如需在本地使用Horusec,首先需要将该项目源码克隆至本地:

git clone https://github.com/ZupIT/horusec.git

然后运行下列命令即可使用horusec-cli进行分析了:

make install

默认开发账号

如需使用Horusec的完整功能,我们可以直接使用默认用户账号进行登录:

email: dev@example.com

  password: Devpass0*

本地使用要求

docker

git

docker-compose/helm

golang

rabbitmq

postgres

邮件账号(可选)

支持的命令

Horusec支持的命令下表所示:

命令

描述

generate

此命令在当前路径中创建配置文件,如果存在新密钥,则更新(不删除当前密钥)

start

此命令使用默认值在当前目录中启动分析

version

你可以看到在本地计算机上运行的实际版本

工具使用样例

简单使用:

horusec start

使用其他目录:

horusec start -a="REPOSITORY_TOKEN" -p="/home/user/project"

忽略指定目录或路径:

horusec start -p="/home/user/project" -a="REPOSITORY_TOKEN" -i="./node_modules,./vendor,./public, **/*test.go"

获取JSON格式输出:

horusec start -p="/home/user/project" -a="REPOSITORY_TOKEN" -o="json" -O="./output.json"

演示样例

项目地址

Horusec:【GitHub传送门

参考资料

https://horusec.io/docs

https://github.com/ZupIT/horusec-vscode-plugin

https://github.com/ZupIT/horusec/blob/master/horusec-cli#installing

https://github.com/ZupIT/horusec/blob/master/horusec-cli#horusec-cli


# 漏洞扫描 # 漏洞管理 # 安全开发
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
Horusec是什么?
    Horusec完整体系架构
      工具安装
        Docker镜像
          安装检测
            horusec-cli使用要求
              工具使用
              • 本地使用
              • 默认开发账号
              • 本地使用要求
              支持的命令
                工具使用样例
                  演示样例
                    项目地址
                      参考资料