目录
1。大约
2。入门
2.1。要求
2.2。安装
3。用法
3.1。 CLI用法
3.2。使用Docker
3.3。较旧的版本
3.4。使用horusec -Web应用程序
3.5。使用Visual Studio代码
3.6。使用管道
4。文档
5。路线图
6。贡献
7。行为准则
8.许可
9。社区
关于
horusec是一种开源工具,可以执行静态代码分析,以识别开发过程中的安全缺陷。目前,用于分析的语言是C#,Java,Kotlin,Python,Ruby,Golang,Terraform,JavaScript,Typescript,Kubernetes,PHP,C,HTML,JSON,JSON,DART,DART,DART,ELIXIR,ELIXIR,SHELL,SHELL,SHELL,NGINX。该工具具有在所有项目文件以及GIT历史记录中搜索键泄漏和安全缺陷的选项。开发人员可以通过CLI和CI /CD垫子的DevSecops团队使用horusec 。
查看我们的文档,您将看到horusec执行分析的工具和语言的完整列表。
请参阅输出示例:
入门
要求
- Docker
您需要在计算机中安装的Docker,以便使用我们使用的所有工具运行horusec 。如果您没有Docker,我们将有一个flag -d true可以禁用依赖性,但它也失去了很多分析能力。我们建议与Docker一起使用它。
如果您启用“犯下作者-g true”,则还具有git依赖性。
安装horusec
Mac或Linux
make install
或者
curl -fsSL https://raw.git*hubuserco*n*tent.com/ZupIT/horusec/master/deployments/scripts/install.sh | bash -s latest检查安装
horusec version视窗
-
AMD64
horusec .exe" -L">curl -k " https://gi*t*hub.c*om/ZupIT/horusec/releases/latest/download/ horusec _win_amd64.exe " -o " ./ horusec .exe " -L
-
ARM64
horusec .exe" -L">curl -k " https://gi*t*hub.c*om/ZupIT/horusec/releases/latest/download/ horusec _win_arm64.exe " -o " ./ horusec .exe " -L
检查安装
./ horusec .exe version还有更多
您可以在我们的版本页面中找到所有带有版本的二进制文件。
有关如何安装的更多详细信息,请查看文档
用法
CLI用法
要使用horusec -Cli并检查应用程序的漏洞,请使用以下命令:
horusec start -p .当horusec启动分析时,它会创建一个称为的文件夹。 horusec 。该文件夹是不更改代码的基础。我们建议您添加行。 horusec进入.gitignore文件,因此此文件夹无需发送到您的git服务器。
使用Docker
可以通过Docker Image Horuszup/ horusec -Cli:最新使用horusec 。
运行以下命令进行操作:
docker run -v /var/run/docker.sock:/var/run/docker.sock -v $( pwd ) :/src horuszup/ horusec -cli:latest horusec start -p /src -P $( pwd )
- 我们创建了一个包含项目-v $(pwd)的卷:/src。
使用Docker图像,我们最终有了两个可以找到该项目的路径。
-p标志将在我们的示例 /src中代表容器内部的项目路径。 -p标志将代表容器之外的项目,在我们的示例中,也将由$(PWD)表示,以通过项目路径来安装卷-v $(pwd):/src。
较旧的版本
horusec的V1仍然可用。
警告: V1的端点将被弃用,请将您的CLI升级到V2。在文档中查看更多详细信息。
Mac或Linux
curl -fsSL https://ho**r*usec.io/bin/install.sh | bash -s latest视窗
curl " https://**hor*usec.io/bin/latest/win_x64/ horusec .exe " -o " ./ horusec .exe " && ./ horusec .exe version
- 可以在此端点找到较旧的二进制文件,包括最新版本的V1 V1.10.3 。
- 从v2开始,二进制文件将不再由此端点分发,您可以在“版本”页面中找到。
使用horusec -Web应用程序
通过我们的Web界面来管理您的漏洞。您可以拥有有关漏洞,对误报的控制,授权令牌,漏洞更新等的指标仪表板。请参阅Web应用程序部分,以继续阅读有关它的信息。
查看下面的示例,它将分析发送到horusec Web服务:
horusec start -p < PATH_TO_YOUR_PROJECT > -a < YOUR_AUTHORIZATION_TOKEN >查看有关如何通过horusec Manager Web服务创建授权令牌的教程。
警告:我们的Web服务已移至新的存储库。您需要升级到V2,查看如何从V1迁移到V2 。
使用Visual Studio代码
您可以使用horusec的Visual Studio代码扩展名来分析项目。有关更多信息,请查看文档。
使用管道
通过确保组织中的最大安全性,您可以在在环境中部署之前对项目进行分析。有关更多信息,请查看文档:
特征
见下文:
- 使用20种不同的安全工具同时分析18种语言,以提高准确性;
- 通过秘密和其他内容搜索他们的历史性git;
- 您的分析可以完全配置,请参阅所有CLI可用资源。
文档
您可以在我们的网站上找到horusec的文档。
路线图
我们有一个项目路线图,您可以为我们贡献!
horusec还有其他存储库,请查看:
- horusec平台
- horusec Devkit
- horusec引擎
- horusec运营商
- horusec VScode
贡献
随意使用,建议改进或为新实施做出贡献。
查看我们的贡献指南,以了解我们的开发过程,如何提出错误编织和改进。
开发人员原籍证书-DCO
这是项目和开发人员的安全层。这是强制性的。
遵循以下两种方法之一将DCO添加到您的提交中:
1。命令行请按照步骤:步骤1:配置您的本地GIT环境,并在您的GitHub帐户中添加相同的名称和电子邮件。它有助于在评论和建议期间手动签名。
git config --global user.name “Name” git config --global user.email “email@domain.com.br”
步骤2:在git Commit命令中使用“ -s”标志添加签名的线路:
$ git commit -s -m "This is my commit message"
2。Github网站
您也可以在GitHub评论和建议期间手动签署提交,请按照以下步骤进行:
步骤1:当提交更改框打开时,手动键入或粘贴您的签名在评论框中,请参见以下示例:
Signed-off-by: Name < e-mail address >
对于此方法,您的姓名和电子邮件必须在GitHub帐户上注册。
行为守则
请遵循您与我们项目的所有互动中的行为准则。
执照
Apache许可证2.0 。
社区
随时与我们联系:
- Github问题
- 如果您有任何疑问或想法,让我们在我们的ZUP开源论坛中聊天。
该项目的存在得益于所有贡献者。你摇滚! ❤️
通过命令行克隆项目: