มาลอง scan ช่องโหว่ของ code เราด้วย Semgrep กัน

Semgrep คืออะไร

Semgrep คือ เครื่องมือที่ช่วยให้เหล่าชาวเดฟสามารถใช้ค้นหาช่องโหว่และบัคต่างๆ บนโค๊ดที่เราพัฒนาได้ โดยการวิเคราะห์จะเป็นรูปแบบ static (ค้นหา pattern ของโค๊ด) สามารถวิเคราะห์ได้อย่างรวดเร็ว รองรับรองการวิเคราะห์โค๊ดได้มากกว่า 30 ภาษา support-languages

การติดตั้ง

เราสามารถติดตั้ง smgerp cli ได้ดังนี้ (เลือกวิธีการติดตั้งตามที่ต้องการได้เลย)

1
2
3
4
5
6
7
8
# For macOS
$ brew install semgrep

# For Ubuntu/WSL/Linux/macOS
$ python3 -m pip install semgrep

# To try Semgrep without installation run via Docker
$ docker run --rm -v "${PWD}:/src" returntocorp/semgrep semgrep

การใช้งาน

หลังจากที่ติดตั้งเรียบร้อย เราสามารถใช้คำสั่งนี้ เพื่อทำการ scan code ของเราได้เลย

1
semgrep scan --config auto ./...

semgrep-scan-cli เพียงเท่านี้เราก็สามารถค้นหาช่องโหว่โค๊ดของเรา และทำการปรับปรุงโค๊ดของเราให้ดียิ่งขึ้นแล้ว ซึ่งในการทำงานของทีมเป็นทีมเราก็สามารถนำ semgrep ไปใช้ scan code ของทีม ในระหว่างที่ทีมของเราทำการ merge code ก็จะทำให้ code ของทีมมีความปลอดภัยมากยิ่งขึ้น

ถ้าเราไม่ใช่ semgrep เราสามารถใช้อะไรได้บ้าง

มี tool มากมายที่ใช้ในการ scan code ของเรา ในตลาดที่ใช้กันหลักๆ สามารถหาดูเพิ่มเติมได้ที่ Source Code Analysis Tools

Reference Link

semgrep repository : https://github.com/returntocorp/semgrep

อย่าลืมให้กำลังใจสล็อตด้วยการกดไลค์ กดแชร์บทความ กดติดตามเพจ Sloth Coding ด้วยนะฮะ ขอบคุณฮะ ;)