Integration & Python49 Semgrep와 보안 이슈 Semgrep 강력한 보안 기능 이전 포스팅에서 Semgrep을 다루면서 보안 기능(Security Function)이 중점을 두고 있다고 설명했었는데요. Semgrep의 레지스트리를 찾아보면 Security-audit(보안 감사)라는 보안만 중점으로 모아둔 규칙이 있습니다. Security와 관련해서 총 253개의 규칙들을 모아둔 규칙 집합입니다. 여기에서는 중요도가 높은 Error 관련된 규칙만 필터링해보면 54개가 나열됩니다. 현재 진행 중인 저장소에 이 Error 관련 규칙들만이라도 보안 검사해서 실제 코드를 적용해봐도 보안 관련 취약점들은 꽤 많은 개선이 될 것으로 보이는데요. 한 예로 다음은 "system call" 함수가 사용된 경우로 Error(오류)로 필터링된 예제입니다. semgrep .. 2022. 9. 5. Semgrep 강점 Semgrep 란? Semgrep은 코드소나와 비슷한 코드 정적 분석 툴입니다. 하지만 오픈소스이며 커뮤니티 기반 규칙을 사용, CI나 편집기를 이용해서 온/오프라인 어디서든 빠른 속도로 버그를 찾고 표준 기반 코드를 적용할 수 있습니다. 특히 코드의 보안(Security) 취약점을 검사하는 강력한 기능도 탑재되어 있는 강점이 있는데요. (비슷한 코드 정적 분석 툴인 코드소나 관련 포스틍은 아래 링크 참고하세요.) 코드 정적 분석 툴 - 코드소나(CodeSonar) 사용 하는 이유 코드소나(CodeSonar) 사용 하는 이유? 점차 늘어나는 소프트웨어 품질의 중요성을 위해 소스 레벨에서 소스 코드의 정적 분석이 요구된다. 코드소나는 코드 정적 분석 툴 중 하나이다. 그리고 다음 freernd.tistor.. 2022. 9. 2. Visual Studio Code WSL 설치 연동 & 윈도우 탐색기 WSL 경로 찾기 이 글에서는 Visual Studio Code WSL의 설치 연동 및 윈도우 탐색기로 WSL 경로를 찾는 방법에 대해 알아봅니다. 보통 처음 Visual Studio Code 설치한 후 WSL 기본경로에서 작업할 디렉토리(폴더)를 생성 해야 하는데, 하지만 처음 VS Code를 사용하는 사용자라면 이 간단하고 기본적인 탐색기 메뉴도 잘 보이지 않아 당황하곤 한다. 하지만 이 글의 내용을 참고만 어렵지 않게 VS Code 상에서의 윈도우 탐색기와 함께 WSL 기본 경로도 찾고, 더불어 WSL 설치 연동까지 확인해 볼 수 있겠다. Visual Studio Code WSL 설치 연동 Extentions에서 WSL 입력해서 'Remote-WSL' 설치합니다. 설치 완료 후 명령창을 열고 작업을 원하는 디렉.. 2022. 8. 4. Semgrep CLI 설치 및 실행 방법 Semgrep CLI(Command Line Interface) 설치 방법 1. CLI상에서 Semgrep 설치합니다. 1.1 Ubuntu, Linux 시스템에서 명령어 python3 -m pip install semgrep Note: 필자는 CLI를 Visual Studio Code에서 설치하였음 1.2 설치 없이 Docker를 통해 Semgrep 실행 가능함 docker run --rm -v "${PWD}:/src" returntocorp/semgrep semgrep --config=auto 만약 docker 설치 되지 않았다면 다음 명령으로 docker를 먼저 설치합니다. ~$ sudo apt install docker.io ~$ docker --version Docker version 1.6.2,.. 2022. 8. 4. 이전 1 2 3 4 5 6 7 ··· 13 다음
