白箱掃描工具_Puma Scan
這邊找到的針對puma scan大多數都為vs2015,vs2017的使用教學文
下載安裝VS插件
Puma Scan
下載安裝VS插件
Error List Manager 2 (ELM2) 用於好匯出報告及錯誤用
將visual studio 全部關閉重啟
Tools -> Options -> Text Editor -> C# Advanced
-> 檢查Enabled Full Solution Analysis
接著Enable Additional File Analysis
這步驟只能手動去開啟編輯專案的.csproj檔案
這裡就會遇到十分尷尬的點
若你們公司都是用website的application種類方式開發
就不會有.csproj的專案檔案(不過後來發現website類型的專案也可以被puma scan自動掃出來)
所以比較適用於web application的模式
適用.net core 跟 asp.net mvc,web api 只要是應用程式專案類型的
這邊我拿ado.net搭配寫的.net web api專案來做測試
當我們把.csproj編輯存檔
並重新建置後
下方就會出現很多warning 選擇SEC前綴的就代表有安全疑慮
而都能打開連結到puma網頁上看對應可以進行secure codeing修改的範本
這邊比較一下跟CheckMarx比還是遜色一些
不過大部分常見的漏洞都還是有機會可提前先掃過作修正。
最後Puma Scan也有提供一個幫助驗證是否能夠成功白箱掃描的專案
裡面充斥很多漏洞
Ref:
免費的白箱檢測工具puma scan
github 免費版的Installation和跟.net core 及docker配置的教學
官網跟youtube能找到的都是要付費購改license的
Installation Guide for Puma Scan Pro
留言
張貼留言