Argus:针对GitHub Actions工作流的安全分析与增强工具

2024-06-10 327 0

关于Argus

Argus是一款针对针对GitHub Actions工作流的安全分析与安全增强工具,旨在帮助广大研究人员检测并增强CI/CD工作流的安全性。该工具使用了非常复杂的安全分析技术,并利用了污点追踪技术和影响分类器以检测GitHub Actions工作流中的潜在安全问题。

Argus其实是 Audit Record Generation and Utilization System(审计记录生成与使用系统)的缩写,能对网络流量与数据进行高效、深入的分析。Argus可以筛选大量流量并快速全面的生成报告。不论是单一使用还是与其他工具共同使用,这个工具都可以提供坚实的协助。

功能介绍

1、污点追踪:Argus使用了复杂的算法来跟踪GitHub Actions工作流中潜在的不可信数据流,从而能够识别可能导致代码注入攻击的安全缺陷;

2、影响分类器:Argus将已识别的漏洞分为高、中和低严重级别,从而更清楚地了解每个已识别漏洞的潜在影响,这对于确定漏洞缓解工作的优先次序至关重要;

工具安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/purs3lab/Argus.git

Docker使用

除此之外,Argus还可以在一个Docker容器中运行,我们需要先安装好Docker和Docker-Compose:

apt-get -y install docker.io docker-compose

然后克隆项目代码库:

git clone https://github.com/purs3lab/Argus.git

构建Docker容器:

docker-compose build

现在,我们就可以使用下列命令在Docker容器中运行Argus了:

docker-compose run argus --mode {mode} --url {url to target repo}

扫描后的结果将存储在results目录中。

工具使用

下面给出的是工具脚本运行的标准命令示例:

python argus.py --mode [mode] --url [url] [--output-folder path_to_output] [--config path_to_config] [--verbose] [--branch branch_name] [--commit commit_hash] [--tag tag_name] [--action-path path_to_action] [--workflow-path path_to_workflow]

参数解析

--mode:设置操作模式,可选项为“repo”或“action”;(必选)

--url:目标GitHub URL地址,私有代码库的地址格式为“USERNAME:TOKEN@URL”;(必选)

--output-folder:输出目录路径,默认为“/tmp”;(可选)

--config:配置文件路径;(可选)

--verbose:开启Verbose模式,默认为“INFO”模式;(可选)

--branch:代码库分支名称,可选项为“--branch”、“--commit”和“--tag”;(可选)

--commit:commit哈希,可选项为“--branch”、“--commit”和“--tag”;(可选)

--tag:设置标签,可选项为“--branch”、“--commit”和“--tag”;(可选)

--action-path:GitHub Action的相对路径,无法在“repo”模式下使用“--action-path”;(可选)

--workflow-path:工作流的相对路径,无法在“action”模式下使用“--workflow-path”;(可选)

工具使用样例

下面的命令可以与一个GitHub代码库交互,并对其分支进行扫描:

python argus.py --mode repo --url https://github.com/username/repo.git --branch master

许可证协议

本项目的开发与发布遵循GPL开源许可协议。

项目地址

Argus:【GitHub传送门

参考资料

https://secureci.org/argus

https://microsoft.github.io/sarif-web-component/

https://marketplace.visualstudio.com/items?itemName=MS-SarifVSCode.sarif-viewer

相关文章:

  1. Raven:一款功能强大的CICD安全分析工具
  2. SmuggleFuzz:一款功能强大的高级HTTP降级走私安全扫描工具
  3. 如何使用Logsensor快速识别登录面板和POST表单SQLi缺陷
  4. 如何使用Git-Secrets防止将敏感信息意外上传至Git库
  5. 如何使用AzurEnum快速枚举Microsoft Entra ID(Azure AD)

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

4A测评
漏洞分析
0 0

相关文章

Arkime:一款大规模数据包捕获和索引数据库系统
从蓝队流量角度分析Shiro-550反序列化漏洞
万字长文浅谈三高系统建设方法论和实践
你遇到过哪些奇葩面试题目;如何考察渗透测试与安全管理能力| FB甲方群话题讨论
Amoco:一款针对二进制源码的安全分析工具
CVE-2024-21096:MySQLDump提权漏洞分析

发布评论