PowerShell SAST / OWASP 10

Question

PowerShell SAST / OWASP 10

В настоящее время я разрабатываю сценарий PowerShell с 10 тыс. Строк кода, подключаемый к базе данных SQL. Хотя рекомендуется использовать плагины в среде IDE, например, для Java или C#, для сканирования кода (плагин Resharper/ Fortify или Sonarcube) и во время процесса сборки выполнять анализ SAST, я не могу найти подходящий инструмент для кода PowerShell, за исключением PSScriptAnalyzer, который хорош для устранения неприятных запахов, но не так сильно рассматривается как инструмент SAST.

Такой инструмент в настоящее время просто недоступен для PowerShell, или вы знаете какие-нибудь полезные инструменты?

KR Крис

0

powershell security sonarqube fortify sast

Источник

20 авг '21 в 16:57

1 ответ

Другие вопросы по тегам powershell security sonarqube fortify sast

user7411885 20 авг '21 в 18:19 2021-08-20 18:19 · Answer 1 · 2021-08-20 18:19

NIST продолжает регулярно обновляемый список примеров SAST инструмента (не рекомендации) здесь . По состоянию на 20 августа 2021 г. единственным инструментом, в котором Powershell указан как поддерживаемый язык, является Static Reviewer от Atlassian :

Обеспечивает проверки безопасности в соответствии с OWASP, CWE, CVE, CVSS, MISRA, CERT. Доступен как модуль для анализа состава программного обеспечения (SCA) для поиска уязвимостей в библиотеках с открытым исходным кодом и сторонних разработчиков.

Лично я просто использую PSScriptAnalyzerмодуль с набором правил Microsoft InjectionHunter . В наши дни вы можете добавить их в правила плагина PowerShell VSCode.