Raven:一款功能强大的CICD安全分析工具

关于Raven

Raven是一款功能强大的CI/CD安全分析工具,该工具旨在帮助广大研究人员对GitHub Actions CI工作流执行大规模安全扫描,并将发现的数据解析并存储到Neo4j数据库中。

Raven,全称为Risk Analysis and Vulnerability Enumeration for CI/CD,即针对CI/CD的风险分析和漏洞枚举工具,该工具目前由Cycode研究团队开发和维护。

通过Raven,我们能够轻松识别和报告GitHub上托管的一些热门代码库中的安全漏洞,这些项目包括:

FreeCodeCamp

Storybook

Fluent UI

...

工具特性

该工具提供了下列功能来扫描和分析潜在的CI/CD安全漏洞:

1、下载器:下载分析所需的工作流和必要的操作数据,工作流可以同时为多个帐户(用户/组织)下载,也可以为公共GitHub存储库下载,按星级排序,执行此步骤是分析工作流的先决条件;

2、索引器:将下载的数据解析并存储到基于图形的Neo4j数据库中;

3、查询库:我们根据社区进行的研究创建了一个预定义的查询库;

4、报告器:Raven有一个简单的方法来报告可疑的发现;

使用场景

1、扫描自己代码库的安全性;

2、扫描特定组织的代码库安全(漏洞奖励计划);

3、扫描并报告其他公共代码库的安全问题;

4、研究和学习使用;

工具架构

工具要求

Python 3.9+

Docker Compose v2.1.0+

Docker Engine v1.13.0+

工具安装&配置

安装Raven包

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。

接下来,安装Raven包:

pip3 install raven-cycode

安装一个本地Redis服务器和Neo4j数据库:

docker run -d --name raven-neo4j -p7474:7474 -p7687:7687 --env NEO4J_AUTH=neo4j/123456789 --volume raven-neo4j:/data neo4j:5.12

docker run -d --name raven-redis -p6379:6379 --volume raven-redis:/data redis:7.2.1

除此之外,我们还可以使用下列命令安装Raven:

git clone https://github.com/CycodeLabs/raven.git

cd raven

make setup

运行Raven下载器

账号模式:

raven download account --token $GITHUB_TOKEN --account-name RavenDemo

爬取模式:

raven download crawl --token $GITHUB_TOKEN --min-stars 1000

运行Raven索引器

raven index

通过报告器审计扫描结果

raven report --format raw

数据库数据查看

http://localhost:7474/browser/

工具使用样例

获取与任何账号(用户/组织)相关的全部工作流和活动:

raven download account --token $GITHUB_TOKEN --account-name microsoft --account-name google --debug

爬取所有公开可访问的GitHub代码库:

raven download crawl --token $GITHUB_TOKEN --min-stars 100 --max-stars 1000 --debug

下列命令可以在下载完成或扫描中断时,将所有的工作流和活动索引到Neo4j数据库中:

raven index --debug

下列命令可以使用查询库生成一个报告:

raven report --severity high --tag injection --tag unauthenticated

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可证协议。

项目地址

Raven:【GitHub传送门】

参考资料

https://cycode.com/?utm_source=github_website&utm_medium=referral&utm_campaign=raven_page

GitHub - freeCodeCamp/freeCodeCamp: freeCodeCamp.org's open-source codebase and curriculum. Learn to code for free.

GitHub - storybookjs/storybook: Storybook is a frontend workshop for building UI components and pages in isolation. Made for UI development, testing, and documentation.

GitHub - microsoft/fluentui: Fluent UI web represents a collection of utilities, React components, and web components for building web applications.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/514012.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

4大企业实例解析:为何MongoDB Atlas成为AI服务构建的首选

4大企业实例解析:为何MongoDB Atlas成为AI服务构建的首选

随着人工智能和生成式AI技术的迅猛发展,众多企业和机构正积极利用自然语言处理(NLP)、大型语言模型(LLM)等前沿技术,打造出一系列AI驱动的产品、服务和应用程序。 本文将展示四家已在AI创新领域取得显著成…
阅读更多...
鸿蒙实战开发:【实现应用悬浮窗】

鸿蒙实战开发:【实现应用悬浮窗】

如果你要做的是系统级别的悬浮窗&#xff0c;就需要判断是否具备悬浮窗权限。然而这又不是一个标准的动态权限&#xff0c;你需要兼容各种奇葩机型的悬浮窗权限判断。 fun checkPermission(context: Context): Boolean if (Build.VERSION.SDK_INT < Build.VERSION_CODES.M)…
阅读更多...
IDEA 解决 java: 找不到符号 符号: 类 __ (使用了lombok的注解)

IDEA 解决 java: 找不到符号 符号: 类 __ (使用了lombok的注解)

原因IDEA版本太高&#xff0c;在 ProcessingEnvironement 预编译的时候是以代理的方式来执行的&#xff0c;不再是直接 javac方式, lombok依赖的 javac方式的 annotation processors 不再生效了 解决办法&#xff1a;下面这一句&#xff0c;加在下图中 -Djps.track.ap.depen…
阅读更多...
权限提升-Linux系统权限提升篇VulnhubRbash绕过DockerLXD容器History泄漏shell交互

权限提升-Linux系统权限提升篇VulnhubRbash绕过DockerLXD容器History泄漏shell交互

知识点 1、普通用户到Linux-泄漏-History 2、普通用户到Linux-限制-Rbash绕过 3、普通用户到Linux-容器-LXD&Docker 4.Linux系统提权-web/普通用户-docker逃逸&提权&shell交互 章节点&#xff1a; 1、Web权限提升及转移 2、系统权限提升及转移 3、宿主权限提升及…
阅读更多...
[计算机效率] 格式转换工具:格式工厂

[计算机效率] 格式转换工具:格式工厂

3.14 格式转换工具&#xff1a;格式工厂 格式工厂是一款功能强大的多媒体格式转换软件&#xff0c;可以实现音频、视频、图片等多种格式的转换。它支持几乎所有类型的多媒体格式&#xff0c;包括视频、音频、图片、字幕等&#xff0c;可以轻松实现格式之间的转换&#xff0c;并…
阅读更多...
java Web 健身管理系统idea开发mysql数据库LayUI框架java编程计算机网页源码maven项目

java Web 健身管理系统idea开发mysql数据库LayUI框架java编程计算机网页源码maven项目

一、源码特点 java Web健身管理系统是一套完善的信息管理系统&#xff0c;结合java 开发技术和bootstrap完成本系统&#xff0c;对理解JSP java编程开发语言有帮助&#xff0c;系统具有完整的源代码和数据库&#xff0c;系统主要采用B/S模式开发。 前段主要技术 layUI bootst…
阅读更多...
【前端面试3+1】10 npm run dev 发生了什么、vue的自定义指令如何实现、js的数据类型有哪些及其不同、【最长公共前缀】

【前端面试3+1】10 npm run dev 发生了什么、vue的自定义指令如何实现、js的数据类型有哪些及其不同、【最长公共前缀】

一、npm run dev发生了什么 运行npm run dev时&#xff0c;通常是在一个基于Node.js的项目中&#xff0c;用来启动开发服务器或者执行一些开发环境相关的任务。下面是一般情况下npm run dev会执行的步骤&#xff1a; 1. 查找package.json中的scripts字段&#xff1a; npm会在项…
阅读更多...
SQL server 查询数据库中所有的表名及行数

SQL server 查询数据库中所有的表名及行数

SQL server 查询数据库中所有的表名及行数 select a.name,b.rows from sysobjects as ainner join sysindexes as bon a.id b.id where (a.type u)and (b.indid in (0, 1)) and b.rows<50 and b.rows>20 order by a.name, b.rows desc;
阅读更多...
elementui 左侧或水平导航菜单栏与main区域联动

elementui 左侧或水平导航菜单栏与main区域联动

系列文章目录 一、elementui 导航菜单栏和Breadcrumb 面包屑关联 二、elementui 左侧导航菜单栏与main区域联动 三、elementui 中设置图片的高度并支持PC和手机自适应 四、elementui 实现一个固定位置的Pagination&#xff08;分页&#xff09;组件 文章目录 系列文章目录…
阅读更多...
glm2大语言模型服务环境搭建

glm2大语言模型服务环境搭建

一、模型介绍 ChatGLM2-6B 是开源中英双语对话模型 ChatGLM-6B 的第二代版本&#xff0c;在保留了初代模型对话流畅、部署门槛较低等众多优秀特性的基础之上&#xff0c;ChatGLM2-6B 引入了如下新特性&#xff1a; 更强大的性能&#xff1a;基于 ChatGLM 初代模型的开发经验&…
阅读更多...
当Pycharm中右键运行python程序时出现Run ‘pytest in tests ***py‘,如何解决?

当Pycharm中右键运行python程序时出现Run ‘pytest in tests ***py‘,如何解决?

1、在Pycharm中右键运行python程序时出现Run pytest in tests ***py &#xff0c;这是进入了Pytest模式。 2、解决办法 进入到File->Settings->Tools->Python integrated Tools页面或者快捷键&#xff08;CtrlAltS&#xff09; 找到Testing下的Default test runner …
阅读更多...
用QT调用FFMPEG的接口

用QT调用FFMPEG的接口

1、调用FFmpeg接口 打开Qt&#xff0c;新建工程&#xff1b; 在工程的pro文件中&#xff0c;添加如下字段&#xff1b; TEMPLATE app CONFIG console CONFIG - app_bundle CONFIG - qtSOURCES \main.c INCLUDEPATH /home/wxw/ffmpeg_build/includeLIBS /home/wxw/ffmpe…
阅读更多...
centOS如何升级python

centOS如何升级python

centOS下升级python版本的详细步骤 1、可利用linux自带下载工具wget下载&#xff0c;如下所示&#xff1a; 笔者安装的是最小centos系统&#xff0c;所以使用编译命令前&#xff0c;必须安装wget服务&#xff0c;读者如果安装的是界面centos系统&#xff0c;或者使用过编译工具…
阅读更多...
drawio画图编辑图形颜色

drawio画图编辑图形颜色

drawio画图编辑图形颜色 团队的安全第一图表。将您的存储空间带到我们的在线工具中&#xff0c;或使用桌面应用程序进行本地保存。 1.安装准备 1.1安装平台 多平台 1.2在线使用 浏览器打开网页使用 1.3软件下载 drawio官网github仓库下载 2.在浏览器的网页中使用drawio…
阅读更多...
c++20协程详解(三)

c++20协程详解(三)

前言 前面两节我们已经能够实现一个可用的协程框架了。但我们一定还想更深入的了解协程&#xff0c;于是我们就想尝试下能不能co_await一个协程。下面会涉及到部分模板编程的知识&#xff0c;主要包括&#xff08;模板偏特化&#xff0c;模板参数列表传值&#xff0c;模板函数…
阅读更多...
redis事务(redis features)

redis事务(redis features)

redis支持事务&#xff0c;也就是可以在一次请求中执行多个命令。redis中的事务主要是通过MULTI和EXEC这两个命令来实现的。 MULTI命令用来开启一个事务&#xff0c;事务开启之后&#xff0c;所有的命令就都会被放入到一个队列中&#xff0c;最后通过一个EXEC命令来执行事务中…
阅读更多...
【MATLAB源码-第29期】基于matlab的MIMO,MISO,SIMO,SISO瑞利rayleigh信道容量对比。

【MATLAB源码-第29期】基于matlab的MIMO,MISO,SIMO,SISO瑞利rayleigh信道容量对比。

操作环境&#xff1a; MATLAB 2022a 1、算法描述 1. SISO&#xff08;单输入单输出&#xff09;&#xff1a; - SISO 是指在通信系统中&#xff0c;只有一个天线用于传输信号&#xff0c;也只有一个天线用于接收信号的情况。这是最简单的通信方式。 2. SIMO&#xff08;单…
阅读更多...
基于AI智能识别技术的智慧展览馆视频监管方案设计

基于AI智能识别技术的智慧展览馆视频监管方案设计

一、建设背景 随着科技的不断进步和社会安全需求的日益增长&#xff0c;展览馆作为展示文化、艺术和科技成果的重要场所&#xff0c;其安全监控系统的智能化升级已成为当务之急。为此&#xff0c;旭帆科技&#xff08;TSINGSEE青犀&#xff09;基于视频智能分析技术推出了展览…
阅读更多...
单例模式(加深版)

单例模式(加深版)

单例模式&#xff08;加深版&#xff09; 饿汉模式 缺点&#xff1a;造成资源的浪费 示例&#xff1a; ## 懒汉模式 示例&#xff1a; 枚举类型单例模式 示例&#xff1a;
阅读更多...
ElasticSearch7.8的下载与安装和Kibana 7.8.0工具使用安装

ElasticSearch7.8的下载与安装和Kibana 7.8.0工具使用安装

1、ElasticSearch7.8.0下载 elasticsearch: 官方下载地址&#xff1a;https://www.elastic.co/cn/downloads/elasticsearch 链接: https://pan.baidu.com/s/1wAKQoB3nhLhcnBlPfVOLxQ 提取码: t83n kibana: 链接: https://pan.baidu.com/s/156aD9zDdvUv8LFgDEIPoSw 提取码:…
阅读更多...
最新文章

Copyright @ 2022~2023