Raven:一款功能强大的CICD安全分析工具

news2024/11/24 17:38:31

关于Raven

Raven是一款功能强大的CI/CD安全分析工具,该工具旨在帮助广大研究人员对GitHub Actions CI工作流执行大规模安全扫描,并将发现的数据解析并存储到Neo4j数据库中。

Raven,全称为Risk Analysis and Vulnerability Enumeration for CI/CD,即针对CI/CD的风险分析和漏洞枚举工具,该工具目前由Cycode研究团队开发和维护。

通过Raven,我们能够轻松识别和报告GitHub上托管的一些热门代码库中的安全漏洞,这些项目包括:

FreeCodeCamp

Storybook

Fluent UI

...

工具特性

该工具提供了下列功能来扫描和分析潜在的CI/CD安全漏洞:

1、下载器:下载分析所需的工作流和必要的操作数据,工作流可以同时为多个帐户(用户/组织)下载,也可以为公共GitHub存储库下载,按星级排序,执行此步骤是分析工作流的先决条件;

2、索引器:将下载的数据解析并存储到基于图形的Neo4j数据库中;

3、查询库:我们根据社区进行的研究创建了一个预定义的查询库;

4、报告器:Raven有一个简单的方法来报告可疑的发现;

使用场景

1、扫描自己代码库的安全性;

2、扫描特定组织的代码库安全(漏洞奖励计划);

3、扫描并报告其他公共代码库的安全问题;

4、研究和学习使用;

工具架构

工具要求

Python 3.9+

Docker Compose v2.1.0+

Docker Engine v1.13.0+

工具安装&配置

安装Raven包

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。

接下来,安装Raven包:

pip3 install raven-cycode

安装一个本地Redis服务器和Neo4j数据库:

docker run -d --name raven-neo4j -p7474:7474 -p7687:7687 --env NEO4J_AUTH=neo4j/123456789 --volume raven-neo4j:/data neo4j:5.12

docker run -d --name raven-redis -p6379:6379 --volume raven-redis:/data redis:7.2.1

除此之外,我们还可以使用下列命令安装Raven:

git clone https://github.com/CycodeLabs/raven.git

cd raven

make setup

运行Raven下载器

账号模式:

raven download account --token $GITHUB_TOKEN --account-name RavenDemo

爬取模式:

raven download crawl --token $GITHUB_TOKEN --min-stars 1000

运行Raven索引器

raven index

通过报告器审计扫描结果

raven report --format raw

数据库数据查看

http://localhost:7474/browser/

工具使用样例

获取与任何账号(用户/组织)相关的全部工作流和活动:

raven download account --token $GITHUB_TOKEN --account-name microsoft --account-name google --debug

爬取所有公开可访问的GitHub代码库:

raven download crawl --token $GITHUB_TOKEN --min-stars 100 --max-stars 1000 --debug

下列命令可以在下载完成或扫描中断时,将所有的工作流和活动索引到Neo4j数据库中:

raven index --debug

下列命令可以使用查询库生成一个报告:

raven report --severity high --tag injection --tag unauthenticated

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可证协议。

项目地址

Raven:【GitHub传送门】

参考资料

https://cycode.com/?utm_source=github_website&utm_medium=referral&utm_campaign=raven_page

GitHub - freeCodeCamp/freeCodeCamp: freeCodeCamp.org's open-source codebase and curriculum. Learn to code for free.

GitHub - storybookjs/storybook: Storybook is a frontend workshop for building UI components and pages in isolation. Made for UI development, testing, and documentation.

GitHub - microsoft/fluentui: Fluent UI web represents a collection of utilities, React components, and web components for building web applications.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1565972.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Linux操作系统基础入门​

Linux操作系统基础入门​

1、操作系统简介​ a. DOS 和 Windows NT​ DOS是一个与Unix完全不相干的操作系统,这一点可以从DOS使用反斜杠来表示文件目录分隔符上 看出来。随着IBM个人PC的流行,微软DOS操作系统在个人电脑上流行起来。Windows 95, Windows 98, 和 Windows ME底层都…
阅读更多...
Databend 集成 PRQL:现代数据处理的一小步

Databend 集成 PRQL:现代数据处理的一小步

PRQL,读作 “Prequel”,是一种与 SQL 并肩的查询语言,它的独到之处在于采用了管道式的语法,在查询关系数据库时显得更加直观和高效。 Databend 拥抱 PRQL 在 v1.2.380-nightly 版本中,得益于社区贡献者 ncuwaln 提交…
阅读更多...
《PDVC》论文笔记

《PDVC》论文笔记

PS:模型代码解释清明后出 原文链接: [2108.07781v1] End-to-End Dense Video Captioning with Parallel Decoding (arxiv.org) 原文笔记: What: End-to-End Dense Video Captioning with Parallel Decoding 并行解码的端到端…
阅读更多...
法律行业案例法模型出现,OPenAI公布与法律AI公司Harvey合作案例

法律行业案例法模型出现,OPenAI公布与法律AI公司Harvey合作案例

Harvey与OpenAl合作,为法律专业人士构建了一个定制训练的案例法模型。该模型是具有复杂推理广泛领域知识以及超越单一模型调用能力的任务的AI系统,如起草法律文件、回答复杂诉讼场景问题以及识别数百份合同之间的重大差异。 Harvey公司由具有反垄断和证…
阅读更多...
uniapp,文字超出几行显示省略号...,展开显示更多

uniapp,文字超出几行显示省略号...,展开显示更多

效果图&#xff1a; 代码&#xff1a; <template><view class"text-container"><text class"text-content" click"showDetail">{{ text }}</text><text v-if"showMore" class"view-detail" cli…
阅读更多...
ModusToolbox 实战入门- XMC GPIO应用篇

ModusToolbox 实战入门- XMC GPIO应用篇

导读 ModusToolbox™ 软体&#xff1a;MCU 开发的利器 ModusToolbox™ 软体是一组支援 MCU 周边配置和应用的工具和发展。这些工具使您能够将我们的 MCU 整合到您现有的开发方法中。 ModusToolbox™ 软体的优点 提供完整的 MCU 周边配置和应用工具可整合到现有的开发方法中…
阅读更多...
C++——异常机制

C++——异常机制

目录 一&#xff0c;背景 1.1 C语言处理错误的方式 1.2 C异常概念 二&#xff0c;异常的使用 2.1 异常的简单使用 2.2 异常的匹配原则 2.3 异常抛对象 2.4 异常的重新抛出 2.5 异常安全 三&#xff0c;自定义异常体系 四&#xff0c;异常优缺点 4.1 优点 4.2 缺点 …
阅读更多...
NOIP2014提高组D1T2:联合权值

NOIP2014提高组D1T2:联合权值

题目链接 NOIP2014提高组D1T2&#xff1a;联合权值 题目描述 无向连通图 G G G 有 n n n 个点&#xff0c; n − 1 n-1 n−1 条边。点从 1 1 1 到 n n n 依次编号,编号为 i i i 的点的权值为 W i W_i Wi​&#xff0c;每条边的长度均为 1 1 1。图上两点 ( u , v ) (…
阅读更多...
环保用电监测系统诞生与作用

环保用电监测系统诞生与作用

随着全球能源危机的加剧和环境保护意识的提高&#xff0c;环保用电监测系统应运而生。这一系统以其独特的监测能力、数据分析和节能减排功能&#xff0c;在提高用电效率和促进环境可持续发展方面发挥着重要作用。本文将从环保用电监测系统的诞生背景、主要功能、作用以及在实际…
阅读更多...
基于Springboot + MySQL + Vue 大学新生宿舍管理系统 (含源码)

基于Springboot + MySQL + Vue 大学新生宿舍管理系统 (含源码)

目录 &#x1f4da; 前言 &#x1f4d1;摘要 &#x1f4d1;操作流程 &#x1f4da; 系统架构设计 &#x1f4da; 数据库设计 &#x1f4ac; 管理员信息属性 &#x1f4ac; 学生信息实体属性 &#x1f4ac; 宿舍安排信息实体属性 &#x1f4ac; 卫生检查信息实体属性 &…
阅读更多...
leet hot 100-10 和为 K 的子数组

leet hot 100-10 和为 K 的子数组

和为 K 的子数组 原题链接思路代码 原题链接 leet hot 100-10 560. 和为 K 的子数组 思路 看到连续非空数组 想到前缀和数组 首先记录前缀和 然后从前往后运算 计算当前位置的前缀和的大小 减少k个 那么这个数字在前缀和的数组中有多少 时间复杂度O(n) 空间复杂度(n) 代…
阅读更多...
python基础——模块【模块的介绍,模块的导入,自定义模块,*和__all__,__name__和__main__】

python基础——模块【模块的介绍,模块的导入,自定义模块,*和__all__,__name__和__main__】

&#x1f4dd;前言&#xff1a; 这篇文章主要讲解一下python基础中的关于模块的导入&#xff1a; 1&#xff0c;模块的介绍 2&#xff0c;模块的导入方式 3&#xff0c;自定义模块 &#x1f3ac;个人简介&#xff1a;努力学习ing &#x1f4cb;个人专栏&#xff1a;C语言入门基…
阅读更多...
招聘信息分享(第一期)

招聘信息分享(第一期)

今天给大家带来——测绘、地信、遥感领域的事业单位招聘信息&#xff01;这也是我自己在关注的&#xff0c;自己应聘单位大多时间已经截至&#xff0c;后期会陆续分享&#xff0c;先分享近期招聘的事业单位 文章目录 1、宁夏大学2024年人才招聘2、甘肃有色冶金职业技术学院3、…
阅读更多...
【现代企业管理】企业组织结构和组织文化的理论与实践——以华为为例

【现代企业管理】企业组织结构和组织文化的理论与实践——以华为为例

一、前言 管理是科学和艺术的统一体&#xff0c;它是企业成长的保证。企业管理中&#xff0c;管理者面对的往往不是一个完整的系统&#xff0c;而是各种不具有整体规律性的零碎信息的总和&#xff0c;因此进行信息的整合和研究是管理的重点和关键。 组织管理作为管理的四大职…
阅读更多...
【QingHub】QingHub Studio企业级应用作业编排

【QingHub】QingHub Studio企业级应用作业编排

简介 QingHub作业编排中心是一个通过插件化方式&#xff0c;提供数据从采集&#xff0c;转化&#xff0c;计算&#xff0c;存储为一体的全流程数据处理方案&#xff0c;他一方面为前端应用提供数据源&#xff0c;同时也为前端应用与数据源头的通信搭建起桥梁&#xff0c;实现数…
阅读更多...
链表之单链表

链表之单链表

上一篇博客我们学习了线性表中的顺序表&#xff0c;这一篇博客让我们继续往下了解线性表的链表&#xff0c;链表分为好几种结构&#xff0c;活不多说&#xff0c;让我们开始学习吧&#xff01; 目录 1.链表 2.链表的结构 3.单链表的实现 1.链表 1.概念&#xff1a;它是一种物…
阅读更多...
快速跨国传输怎么实现?

快速跨国传输怎么实现?

在当今全球化的商业舞台上&#xff0c;迅速且安全地跨国界传输大型文件已经成为企业运营的一个核心环节。但是&#xff0c;这一过程往往面临速度缓慢和安全隐患的问题&#xff0c;这些问题严重地影响了企业的工作效率和数据的安全性。小编将会深入探讨企业在进行跨国大文件传输…
阅读更多...
揭秘!自定义三维模型如何在RflySim中实现仿真(三)

揭秘!自定义三维模型如何在RflySim中实现仿真(三)

一.技术背景 揭秘&#xff01;自定义三维模型如何在RflySim中实现仿真&#xff08;一&#xff09; 揭秘&#xff01;自定义三维模型如何在RflySim中实现仿真&#xff08;二&#xff09; 上两篇文章我们学习了自定义三维模型如何在RflySim中实现仿真和三维场景导入RflySim的实…
阅读更多...
ssm023实验室耗材管理系统设计与实现+jsp

ssm023实验室耗材管理系统设计与实现+jsp

实验室耗材管理系统的设计与实现 摘 要 互联网发展至今&#xff0c;无论是其理论还是技术都已经成熟&#xff0c;而且它广泛参与在社会中的方方面面。它让信息都可以通过网络传播&#xff0c;搭配信息管理工具可以很好地为人们提供服务。针对实验室耗材信息管理混乱&#xff…
阅读更多...
阴影画图转html

阴影画图转html

深受启发 https://segmentfault.com/a/1190000014943400?utm_sourcetag-newest https://gitee.com/yun-36/shadow-drawing 通过File对象&#xff0c;读成dataURL&#xff0c;生成图片&#xff0c;挂到canvas&#xff0c;生成图片文件对应的rgba数据像素点信息&#xff0c;处理…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023