白箱掃描工具_Puma Scan

這邊找到的針對puma scan大多數都為vs2015,vs2017的使用教學文


下載安裝VS插件
Puma Scan




下載安裝VS插件
Error List Manager 2 (ELM2) 用於好匯出報告及錯誤用









將visual studio 全部關閉重啟


Tools -> Options -> Text Editor -> C# Advanced 
-> 檢查Enabled Full Solution Analysis




接著Enable Additional File Analysis
這步驟只能手動去開啟編輯專案的.csproj檔案



這裡就會遇到十分尷尬的點
若你們公司都是用website的application種類方式開發
就不會有.csproj的專案檔案(不過後來發現website類型的專案也可以被puma scan自動掃出來)

所以比較適用於web application的模式
適用.net core 跟 asp.net mvc,web api 只要是應用程式專案類型的

這邊我拿ado.net搭配寫的.net web api專案來做測試




當我們把.csproj編輯存檔
並重新建置後

下方就會出現很多warning 選擇SEC前綴的就代表有安全疑慮
而都能打開連結到puma網頁上看對應可以進行secure codeing修改的範本





這邊比較一下跟CheckMarx比還是遜色一些
不過大部分常見的漏洞都還是有機會可提前先掃過作修正。

最後Puma Scan也有提供一個幫助驗證是否能夠成功白箱掃描的專案
裡面充斥很多漏洞





Ref:

免費的白箱檢測工具puma scan

github 免費版的Installation和跟.net core 及docker配置的教學

官網跟youtube能找到的都是要付費購改license的

Installation Guide for Puma Scan Pro




留言

這個網誌中的熱門文章

何謂淨重(Net Weight)、皮重(Tare Weight)與毛重(Gross Weight)

Architecture(架構) 和 Framework(框架) 有何不同?_軟體設計前的事前規劃的藍圖概念

經得起原始碼資安弱點掃描的程式設計習慣培養(五)_Missing HSTS Header