在甲方安全建设的过程中,除了项目上线外需要经过黑盒的安全测试,还需要在整个SDL进行建设。
因为单单只是黑盒测试的点是有限的,但是如果内部内置了一个后门,不能够及时的发现。
如果从0开始去写可能会浪费很多的时候,也不想再去重复造轮子,于是调研了一些开源中比较好的扫描工具,然后花了几天的时候,写了一个简单的在线代码审计系统平台。
在看了lijiejie在爱奇艺中使用的代码审计系统(详情请看爱奇艺安全攻防实践议题分享)
技术栈如下:
扫描使用了openstack的bandit
前端使用了layui
后端使用django
数据存储层mysql
界面如下:
在调研用哪一款时参考了比较不错的文章,推荐下。
https://paper.tuisec.win/detail/e03fb4d6934054b