wiki-home
home
Auravant Extension Check
Uso
$ ./aec.py -h
______ _____
/\ | ____| / ____|
/ \ | |__ | |
/ /\ \ | __| | |
/ ____ \ | |____ | |____
/_/ \_\ |______| \_____| v1.17.06.24
Auravant Extension Check
Equipo CDO - auravant.com
(security@auravant.com)
Usage: aec.py [options]
Options:
-h, --help show this help message and exit
-d DIRECTORY, --dir=DIRECTORY
**REQUIRED** - Working Directory.
--sdk SDK Innventary.
--dev Mode Developers.
--cicd DevSecOps in CI/CD.
-o FILE, --output=FILE
Write file JSON.
Especificar directorio de Trabajo para revision
$ ./aec.py -d example/
Buscar las funciones del SDK
$ ./aec.py -d example/ --sdk
Implementación en DevSecOps CI/CD
$ ./aec.py -d example/ --cicd
Salida en archivo JSON
$ ./aec.py -d example/ --sdk --output reporte.json
$ ./aec.py -d example/ --cicd --output gl-generic-report.json
Configuración en CI/CD
Para realizar la configuración de AEC en el CI/CD de GitLab es necesario agregar el siguiente stage dentro del archivo de configuraciones .gitlab-ci.yml.
test-security:
stage: security
script:
- echo "nameserver 172.31.0.2" > /etc/resolv.conf
- mkdir /source
- cp -rv . /source
- apk update --quiet && apk add --quiet --no-progress git
- git clone https://gitlab-ci-token:${CI_JOB_TOKEN}@git.auravant.com/cdo/aec.git
- pip install --upgrade pip
- cd aec && python3 -m pip install -r requirements.txt
- ./aec.py -d /source --cicd
Crear una Excepción
Para crear una excpción del código que aec se encuentra auditando, es necesario incorporar un archivo en la raíz del proyecto con el nombre .aecignore y que deberá contener la siguiente información obligatoria completadas con los datos del desarrollador y el proyecto.
[USER]
name = Nombre del Desarrollador <mail.desarrollador@auravant.com>
[PROJECT]
repository_name = Nombre del proyecto
repository_url = https://...
issue_id =
[IGNORE]
# Function corresponde a las excpciones de las funciones no permitidas.
function = Justificación por usar esta excepción.
# ip corresponde a las direcciones de IP publicas y privadas.
ip = Justificación por usar esta excepción.
# email corresponde a los controles de email.
email = Justificación por usar esta excepción.
# wallet corresponde a los controles de wallets de criptomonedas.
wallet = Justificación por usar esta excepción.
# ak corresponde a los controles de Access Key.
ak = Justificación por usar esta excepción.
# url corresponde a los controles de URL.
url = Justificación por usar esta excepción.