- ubuntu12.04环境下使用kvm ioctl接口实现最简单的虚拟机
- Ubuntu 通过无线网络安装Ubuntu Server启动系统后连接无线网络的方法
- 在Ubuntu上搭建网桥的方法
- ubuntu 虚拟机上网方式及相关配置详解
CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.
这篇CFSDN的博客文章Stacs:一款功能强大的静态令牌和凭证扫描安全工具由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.
Stacs一款功能强大的静态令牌和凭证扫描工具,本质上来说,Stacs是一个基于YARA的静态凭证扫描工具,该工具支持二进制文件格式、嵌套文档分析、可组合规则集和忽略列表以及SARIF报告.
当前版本的Stacs支持tarballs、gzip、bzips、zips、7z、iso、rpm和xz文件的递归解包。由于Stacs处理的是它所检测到的文件类型,而不是文件名,因此该工具将自动支持基于这些类型的适当文件格式,例如Docker镜像、Android APK和Java JAR文件.
Stacs可以为任何需要涉及到二进制文件的安全团队提供帮助,因为Stacs可以为开发人员提供自动检查目标代码版本中是否意外包含静态凭据和敏感数据的能力.
然而,这并不意味着Stacs不适用于Saas应用层序、企业软件或者产品源代码。比如说,我们可以使用Stacs在上传到公共或私有容器的Docker镜像中寻找静态凭证。除此之外,我们还可以通过Stacs搜索意外编译到可执行文件、移动设备软件包和“企业文档”(如Java应用程序服务器使用的文档)中的凭据.
使用Stacs最简单的方法就是通过Docker Hub中发布的Docker镜像了。不过,Stacs也可以直接通过Python的PyPI来安装,或者你也可以直接使用下列命令将该项目源码克隆至本地:
使用发布的Docker镜像,Stacs将该能够直接帮助我们完成组件扫描。我们可以直接在扫描容器中加载大量文件,并交给Stacs的Docker镜像进行扫描.
比如说,我们可以使用下列命令直接扫描当前目录中的所有内容:
默认配置下,Stacs会直接将所有的发现以SARIF格式直接输出至STDOUT,并确保一切数据按顺序排列,所有的信息都会被记录并发送至STDERR.
我们也可以通过Python的PyPi来安装Stacs。此时我们可以通过“stacs”命令直接在本地开发环境中执行项目扫描.
我们可以使用下列命令直接通过PyPI安装Stacs:
当前版本的Stacs数据输出格式仅支持SARIF v2.1.0,下图显示的是我们利用Stacs在一个Docker镜像中发现的结果:
Stacs:【GitHub传送门】 。
原文链接:https://www.freebuf.com/articles/container/317348.html 。
最后此篇关于Stacs:一款功能强大的静态令牌和凭证扫描安全工具的文章就讲到这里了,如果你想了解更多关于Stacs:一款功能强大的静态令牌和凭证扫描安全工具的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
对于正在运行的mysql,性能如何,参数设置的是否合理,账号设置的是否存在安全隐患,你是否了然于胸呢? 俗话说工欲善其事,必先利其器,定期对你的MYSQL数据库进行一个体检,是保证数据库安全运
CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界. 这篇CFSDN的博客文章UI/UX 设计师必备的 16 款 Figma 插件由作者收集整理,如果
以下是该问题的极其简化的版本: import UIKit import CoreMotion class ViewController: UIViewController { private
我是一名优秀的程序员,十分优秀!