在甲方安全建設的過程中,除了項目上線外需要經過黑盒的安全測試,還需要在整個SDL進行建設。
因為單單只是黑盒測試的點是有限的,但是如果內部內置了一個后門,不能夠及時的發現。
如果從0開始去寫可能會浪費很多的時候,也不想再去重復造輪子,於是調研了一些開源中比較好的掃描工具,然后花了幾天的時候,寫了一個簡單的在線代碼審計系統平台。
在看了lijiejie在愛奇藝中使用的代碼審計系統(詳情請看愛奇藝安全攻防實踐議題分享)
技術棧如下:
掃描使用了openstack的bandit
前端使用了layui
后端使用django
數據存儲層mysql
界面如下:
在調研用哪一款時參考了比較不錯的文章,推薦下。
https://paper.tuisec.win/detail/e03fb4d6934054b