Proteger seu código com o AWS Inspetor: um guia abrangente para a digitalização de segurança de código

O Código do Inspetor da AWS Security verifica automaticamente seu código em busca de vulnerabilidades para que você não precise. Veja como configurá -lo e capturar problemas de segurança antes que eles atinjam a produção. O que é a segurança do código do inspetor da AWS? O AWS Inspector Code Security é um serviço totalmente gerenciado que verifica seu: código -fonte para vulnerabilidades de segurança (SAST) – suporta Python, Java, JavaScript .etc. Dependências para CVEs conhecidos (SCA) – digitaliza NPM, PIP, mavenn, etc. Scripts de infraestrutura em busca de inconfigurações (IAC) – Terraforma, Formação Cloud, CDK. For More on Supported Sources Why You Need This Your code probably has vulnerabilities you don’t know about: XSS from unescaped user input (CWE-79) Command injection from shell execution (CWE-78) Hardcoded secrets and API keys (CWE-798) Misconfigured S3 buckets and databases Vulnerable dependencies with known CVEs LDAP/SQL injection vulnerabilities (CWE-89, CWE-90) As análises de código manual perdem essas. O AWS Inspector usa análise semântica avançada e rastreamento de fluxo de dados para capturá -los automaticamente, com as descobertas mapeadas para as classificações CWE (Common Fraqueness Enumeração). Configuração rápida (5 minutos) 1. Crie configuração # Navegue para AWS Console> Inspetor> Código Segurança # Clique em “Criar Configuração” # Ativar: SAST ✓ Segredos ✓ SCA ✓ ode Definir Frequência: Semanal Digite # CLIEL MODE “CONECT A CREAÇÃO FELIA DO MODO FELIA 2. Conectar seu repo Funciona com o Github, # REPORTS APSTORTS” Conecte -se “Conecte” Conecte “Conect”, conecte -se “Conectar o Modo GithUB”, conectar -se a um gitize. Digite o modo de saída do modo de tela completa 3. Vamos explorar as vulnerabilidades e como as detecta o inspetor. Vulnerabilidades do aplicativo 1. Scripts de sites cruzados (xss) @app.route (‘/search’) def pesquisa (): query = request.args.get (‘q’, ”) # vulnerável: uns esgoa de entrada de uso de uso completo de uso de uso completo de uso de uso de uso completo de uso de uso de uso completo de uso de uso de uso completo de uso de uso de uso de uso de uso de uso completo e fullcreen. Sinitização, permitindo que os atacantes executem scripts maliciosos. Teste Payload: 2. Command injeção @app.route (‘/ping’) def Ping (): host = request.args.get (‘host’, ‘localhost’) # vulnerável: execução de comando direto resultado de shell = shell = true_output. Modo de tela completa Essa vulnerabilidade permite que os invasores executem comandos do sistema arbitrário manipulando o parâmetro do host. Carga útil de teste: localhost; whoami 3. LDAP Injeção @app.Route (‘/ldap’) def ldap_search (): username = request.args.get (‘nome de usuário’, ”) # vulnerable: string direta concatenation no filtro ldap ldap_filter = f “(& (objectClass = user) (samactNapname =: A construção do filtro LDAP não sedimentado permite que os invasores manipulem consultas de diretório. Teste Payload: Admin) (& (ObjectClass =* Vulnerabilidades de infraestrutura A configuração do Terraform inclui várias informações errôneas de segurança: # Vulnerable: Public S3 Bucket Resource “AWS_S3_Bucket_Public_Access_block” “Vulnerable_bucket_pab” {bucket = aws_s3) = false block_public_policy = false ignore_public_acls = false restrit_public_buckets = false} Digite o modo de tela cheia de tela cheia. timestamp Integration Details: Connected SCM platform and repository information Scan Configuration: Applied scanning rules and frequency Findings Summary: Overview of detected vulnerabilities Export Findings : We can export findings to S3 Bucket which should be Private Suppression Rules : to Suppress vulnerabilities like low ,etc and even related code level, source code type etc Finding Severity Levels AWS Inspector classifies findings into five severity levels: Critical: Immediate attention required, high risk of Exploração Alta: Risco de segurança significativo, aborda prontamente média: risco moderado, inclua no ciclo regular de desenvolvimento baixo: pequenos problemas, endereço durante a manutenção informativa: recomendações de práticas melhores tipos de avaliação Tonificações sob demanda: varreduras manuais quando você precisar deles Scanns Secution Automated INSPORTIVO DO SUPERMAGEM DILITO DIATIVO, REPRESENTO DE SUPRETIMENTO DO SUPERMAGENS INSPORTOS DIATIVOS DIATIVOS, REPRESSIMENTO DO SUPRETANDO AUTRATIVO DO SPORTENO AUTRATIVO DO AUTRATÍVEL DIAGEM, Cobertura abrangente para o desenvolvimento de aplicativos modernos.

Fonte