| description |
|---|
Nesta seção, você encontra informações iniciais sobre o Horusec antes de se aprofundar no produto. |
É uma ferramenta open source que orquestra outras ferramentas de segurança e identifica falhas de segurança ou vulnerabilidades em projetos ****e centraliza todos os resultados em um banco de dados para análise e geração de métricas.
As linguagens e ferramentas que são utilizamos atualmente são:
- Python
- Ruby
- ****Brakeman****
- Javascript/Typescript
- ****Npm Audit****
- ****Yarn Audit****
- ****Semgrep****
- ****HorusecNodeJS****
- ****EsLint****
- GoLang
- C#
- ****SecuriyCodeScan****
- ****HorusecCSharp****
- ****Flawfinder****
- Java
- ****HorusecJava****
- ****Semgrep****
- Kotlin
- ****HorusecKotlin****
- Kubernetes
- ****HorusecKubernetes****
- Terraform
- ****Tfsec****
- Leaks
- ****HorusecLeaks****
- Leaks(optional search in git history)
- ****GitLeaks****
- PHP
- ****Semgrep****
- ****PHP Code Scan****
- C
- ****Semgrep****
- ****Flawfinder****
- HTML
- ****Semgrep****
- JSON
- ****Semgrep****
- Dart
- ****HorusecDart****
Existem duas principais tarefas no Horusec: acessar o Dashboard e gerar as análises.
Para acessar, é necessário criar um login e senha. Após isso, você pode navegar no Dashboard e realizar ações como:
- Definir as permissões para os outros usuários
- Criar repositórios
- Gerar tokens para realizar a análise de um projeto
Para realizar a análise, você deve utilizar o CLI (Command Line Interface). Caso queira conferir o resultado, você também pode acessar uma interface web, que garante uma visão mais analítica e detalhada.
Se existir alguma falha de segurança no código, o Horusec aponta o arquivo, o nível de gravidade e, em seguida, informa a melhor maneira de corrigir. Veja no exemplo abaixo:
****
Exemplos de vulnerabilidades:
Language: Leaks
Severity: HIGH
Line: 1
Column: 27
SecurityTool: HorusecLeaks
Confidence: MEDIUM
File: deployments/certs/server-cert.pem
Code: -----BEGIN CERTIFICATE-----
Details: Asymmetric Private Key
Found SSH and/or x.509 Cerficates among the files of your project, make sure you want this kind of information inside your Git repo, since it can be missused by someone with access to any kind of copy. For more information checkout the CWE-312 (https://cwe.mitre.org/data/definitions/312.html) advisory.
Type: Vulnerability
ReferenceHash: 178bf5090b749f5eb7b081bccb0112eadac3d9ed3229d813e727ede62a3c6f15
- Promove a cultura do desenvolvimento seguro aplicando a lógica de “security by design”
Ele traz para você segurança, garantindo que possíveis vulnerabilidades desconhecidas serão encontradas pela análise do Horusec.
- Melhora a sua experiência
Garante a segurança dos projetos no processo de CI e CD e, assim, reduz os custos de correção de uma vulnerabilidade.
O Horusec realiza 3 tipos de análises de desempenho para identificar se existe alguma falha de segurança:
- SAST (Static Application Security Testing |Teste Estático de Segurança de Aplicação) O SAST faz a análise estática de vulnerabilidade de código. Elas podem ser feitas em código fonte, byte code ou binário. ****
- Leaks (Vazamento de chaves) O Leaks procura no código fonte possíveis vazamentos de credenciais, chaves privadas ou senhas Hard coded. ****
- Auditoria de dependência É realizada uma auditoria de dependência para verificar a possibilidade de vulnerabilidades em bibliotecas de terceiros.