热门搜索:
opensecurity/njsscan
opensecurity
njsscan是一款静态应用安全测试(SAST)工具,通过libsast模式匹配器和semgrep语义搜索,发现Node.js应用中的不安全代码模式,支持多种输出格式和CI/CD集成。
7 次收藏下载次数: 0状态:社区镜像维护者:opensecurity仓库类型:镜像最近更新:1 年前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
njsscan
概述
njsscan是一款静态应用安全测试(SAST)工具,专为Node.js应用设计。它结合了https://github.com/ajinabraham/libsast%E7%9A%84%E7%AE%80%E5%8D%95%E6%A8%A1%E5%BC%8F%E5%8C%B9%E9%85%8D%E5%99%A8%E5%92%8Chttps://github.com/returntocorp/semgrep%E7%9A%84%E8%AF%AD%E6%B3%95%E6%84%9F%E7%9F%A5%E8%AF%AD%E4%B9%89%E4%BB%A3%E7%A0%81%E6%A8%A1%E5%BC%8F%E6%90%9C%E7%B4%A2%E8%83%BD%E5%8A%9B%EF%BC%8C%E8%83%BD%E5%A4%9F%E6%9C%89%E6%95%88%E8%AF%86%E5%88%ABNode.js%E6%BA%90%E4%BB%A3%E7%A0%81%E4%B8%AD%E7%9A%84%E4%B8%8D%E5%AE%89%E5%85%A8%E4%BB%A3%E7%A0%81%E6%A8%A1%E5%BC%8F%E3%80%82
核心功能
- 多格式输出:支持JSON、SARIF 2.1.0、SonarQube兼容格式及HTML输出
- 灵活配置:通过
.njsscan配置文件自定义扫描规则、忽略路径和文件 - 安全控制检查:可启用缺失安全控制检查功能
- CI/CD集成:支持GitHub Action、GitLab CI/CD、Travis CI等主流持续集成平台
- Python API:提供编程接口,方便集成到自定义工作流
- 多平台支持:兼容Linux和macOS系统(需Python 3.7+)
安装要求
- Python 3.7或更高版本
- 仅支持Linux和macOS系统
- 通过PyPI安装:
pip install njsscan
命令行选项
bash$ njsscan usage: njsscan [-h] [--json] [--sarif] [--sonarqube] [--html] [-o OUTPUT] [-c CONFIG] [--missing-controls] [-w] [-v] [path ...] 位置参数: path 源代码文件或目录路径 可选参数: -h, --help 显示帮助信息并退出 --json 设置输出格式为JSON --sarif 设置输出格式为SARIF 2.1.0 --sonarqube 设置为SonarQube兼容格式 --html 设置输出格式为HTML -o OUTPUT, --output OUTPUT 保存结果的输出文件名 -c CONFIG, --config CONFIG .njsscan配置文件位置 --missing-controls 启用缺失安全控制检查 -w, --exit-warning 警告时返回非零退出码 -v, --version 显示njsscan版本
使用示例
基本扫描命令:
bash$ njsscan test.js - Pattern Match ████████████████████████████████████████████████████████████ 1 - Semantic Grep ███████████████████████████ 160 njsscan: v0.1.9 | Ajin Abraham | opensecurity.in ╒═════════════╤═══════════════════════════════════════════════════════════════════════════════════════════════╕ │ RULE ID │ express_xss │ ├─────────────┼───────────────────────────────────────────────────────────────────────────────────────────────┤ │ OWASP │ A1: Injection │ ├─────────────┼───────────────────────────────────────────────────────────────────────────────────────────────┤ │ CWE │ CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') │ ├─────────────┼───────────────────────────────────────────────────────────────────────────────────────────────┤ │ DESCRIPTION │ Untrusted User Input in Response will result in Reflected Cross Site Scripting Vulnerability. │ ├─────────────┼───────────────────────────────────────────────────────────────────────────────────────────────┤ │ SEVERITY │ ERROR │ ├─────────────┼───────────────────────────────────────────────────────────────────────────────────────────────┤ │ FILES │ ╒════════════════╤═══════════════════════════════════════════════╕ │ │ │ │ File │ test.js │ │ │ │ ├────────────────┼───────────────────────────────────────────────┤ │ │ │ │ Match Position │ 5 - 46 │ │ │ │ ├────────────────┼───────────────────────────────────────────────┤ │ │ │ │ Line Number(s) │ 7: 8 │ │ │ │ ├────────────────┼───────────────────────────────────────────────┤ │ │ │ │ Match String │ const { name } = req.query; │ │ │ │ │ │ res.send('<h1> Hello :' + name + "</h1>") │ │ │ │ ╘════════════════╧═══════════════════════════════════════════════╛ │ ╘═════════════╧═══════════════════════════════════════════════════════════════════════════════════════════════╛
配置说明
通过项目根目录的.njsscan文件或--config参数指定的配置文件自定义扫描行为:
yaml--- - nodejs-extensions: - .js template-extensions: - .new - .hbs - '' ignore-filenames: - skip.js ignore-paths: - __MACOSX - skip_dir - node_modules ignore-extensions: - .jsx ignore-rules: - regex_injection_dos - pug_jade_template severity-filter: - WARNING - ERROR
抑制发现结果
在触发问题的代码行添加注释 // njsscan-ignore: rule_id1, rule_id2 可忽略指定规则:
javascriptapp.get('/some/redirect', function (req, res) { var target = req.param("target"); res.redirect(target); // njsscan-ignore: express_open_redirect });
Docker使用
拉取预构建镜像
bashdocker pull opensecurity/njsscan docker run -v /本地源代码路径:/src opensecurity/njsscan /src
本地构建镜像
bashdocker build -t njsscan . docker run -v /本地源代码路径:/src njsscan /src
CI/CD集成
GitHub Action
创建文件 .github/workflows/njsscan.yml:
yamlname: njsscan on: push: branches: [ master, main ] pull_request: branches: [ master, main ] jobs: njsscan: runs-on: ubuntu-latest name: njsscan check steps: - name: Checkout the code uses: actions/checkout@v2 - name: nodejsscan scan id: njsscan uses: ajinabraham/njsscan-action@master with: args: '.'
GitLab CI/CD
在 .gitlab-ci.yml 中添加:
yamlstages: - test njsscan: image: python before_script: - pip3 install --upgrade njsscan script: - njsscan .
Travis CI
在 .travis.yml 中添加:
yamllanguage: python install: - pip3 install --upgrade njsscan script: - njsscan .
Python API
python>>> from njsscan.njsscan import NJSScan >>> node_source = '/node_source/true_positives/sqli_node.js' >>> scanner = NJSScan([node_source], json=True, check_controls=False) >>> scanner.scan() { 'templates': {}, 'nodejs': { 'node_sqli_injection': { 'files': [{ 'file_path': '/node_source/true_positives/sqli_node.js', 'match_position': (1, 24), 'match_lines': (4, 11), 'match_string': 'var employeeId = req.foo;\n\nvar sql = "SELECT * FROM trn_employee WHERE employee_id = " + employeeId;\n\n\n\nconnection.query(sql, function (error, results, fields) {\n\n if (error) {\n\n throw error;\n\n }\n\n console.log(results);' }], 'metadata': { 'owasp': 'A1: Injection', 'cwe': "CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')", 'description': 'Untrusted input concatinated with raw SQL query can result in SQL Injection.', 'severity': 'ERROR' } } }, 'errors': [] }
nodejsscan SAST
nodejsscan基于njsscan构建,提供完整的漏洞管理用户界面及其他集成功能。详情参见https://github.com/ajinabraham/nodejsscan%E3%80%82
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 njsscan 镜像标签
docker pull docker.xuanyuan.run/opensecurity/njsscan:<标签>
DockerHub 原生拉取命令
docker pull opensecurity/njsscan:<标签>
更多 njsscan 镜像推荐
opensecurity/mobile-security-framework-mobsf
opensecurity
移动安全框架(MobSF)是一个一站式自动化移动应用渗透测试框架,支持Android、iOS和Windows Mobile应用的静态分析、动态分析及安全评估,可无缝集成到DevSecOps/CI/CD流程。
113 次收藏100万+ 次下载
2 个月前更新
opensecurity/nodejsscan
opensecurity
nodejsscan是一款针对Node.js应用的静态安全代码扫描器(SAST),基于libsast和semgrep引擎,用于检测代码中的安全漏洞。
8 次收藏10万+ 次下载
1 年前更新
opensecurity/mobsfscan
opensecurity
mobsfscan是一款静态应用安全测试工具,可检测Android和iOS源代码中的不安全代码模式。
16 次收藏10万+ 次下载
4 个月前更新
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"