SonarQube İle Penetration Test 5 Test Sonuçlarının İncelenmesi ve Alınacak Aksiyonlar

Merhabalar, 4 yazı boyunca yaptığımız testlerin sonuçlarına bakmak ve alınacak aksiyonları görmeye geldi sıra.

1 Server’ı Çalıştır

localhost:9000 adresine gidiyoruz.

Eğer bu adrese ulaşım yoksa aşağıdaki yazının son basamağını uygulayıp Server’ı başlatmanız gerekir.

2 Login Ol

Sisteme kullanıcı bilgilerimizle Login oluyoruz.

3 Project Sekmesine Git

Project sekmesine tıkladığımızda testini yaptığımız projeler aşağıda listeleniyor.

İlk ekranda genel bir görünüş var.

19 tane Bug bulmuş. Bu bugları kendisine Flask ve Pythonla ilgili tanımlanmış Rules sayesinde bulabiliyor.

Hiç güvenlik açığımız yok.

Security Hotspot güvenlik açığı oluşturabilecek hassas kodları işaret eder ve kontrol edilmesi gerektiğini bildirir.

4 Kontrolünü Yapacağımız Projenin Detay Ekranına Giriyoruz

5 Bug Bölümüne Git

Bug bölümüne girdiğimizde bize sorun ve çözümleriyle alakalı daha detaylı bilgiler verecek.

6 Bug İnceleyelim

İstediğimiz bir bug’ın üzerine tıklayalım ve onun da detayına girelim.

Bug, BlueWhale/Auth/ConfirmMail.py dosyası içindeymiş.

Class parametresi olarak self eklenmesi gerektiğinden bahsediyor.

7 Alınacak Aksiyon

Ancak Flask’in standart Route yönlendirmeleri yapılırken fonksiyonuna self parametresi verilemiyor.

O yüzden burada bir hata yok. Bug yazan sekmeye tıklayıp Code Smell olarak işaretleyip bunu geçiyoruz.

Eğer kod içinde müdahale edilmesi gerekseydi bunu yaparak çözecektik.

8 Hassas Kodlarımıza Göz Atalım

Random üretilen değerlerin güvenli olup olmadığından emin misiniz diye soruyor.

9 Önerdiği Çözümlere Bakma

Burada sakıncalı gördüğü şeyi nasıl çözebileceğimiz ile alakalı da fikirleri var.

Bunun için How Can You Fix It? sekmesine tıklayabiliriz.

Neler uygulayabileceğimiz aşağıda gösteriliyor. Daha açık kod örneklerinin gösterildiği durumlar da oluyor.

Burada eğer şu anki yaptığımızı güvenli buluyorsak şunu yapabiliriz.

Böyle adım adım var olan her durumu kontrol edip önlemlerimizi alabiliriz.

İşte bu kadardı artık bir nebze daha güvenli şekilde projemizi canlıya alıp kullanıcılara sunabiliriz.

Bir sonraki yazılarımda görüşmek üzere.