做甲方安全建设,SDL是一个离不开的话题,其中就包含代码审计工作,我从最开始使用编辑器自带的查找,到使用fortify工具,再到后来又觉得fortify的扫描太慢影响审计效率,再后来就想着把fortify集成到自己的业务系统中去

最近在哔哩哔哩看 到Swallow 代码审计系统的宣传,发现功能比较适合我目前的工作需要,安装使用了一下,简单做了一个笔记,分享给有需要的朋友.

Swallow是一款开源的代码审计工具，其底层集成了多种静态代码分析工具，如murphysec SCA、Fortify、SemGrep、Hema(Webshell检测)，通过蜻蜓安全的编排系统进行连接。同时上层UI使用了Bootstrap 5和ThinkPHP 6。

在这个流程中需要做的事情比较繁琐，比如说gitlab如何配置token、如何自动化把代码拉取到本地、如何调用fortify实现批量扫描等诸多繁琐问题。

搭建起来之后，进入控制台中看了下QingScan的功能列表，发现除了公众号介绍的黑盒扫描功能外其实还有不少功能，我比较喜欢的是里面的白盒审计功能，里面集成了fortify、semgrep、河马webshell、kunlun-m、sonarqube、PHP依赖、Python依赖、java依赖的扫描工具,所以写下这篇文章跟大家分享一下~