关于StacsStacs是一个强大的静态令牌和凭证扫描工具。本质上,Stacs是一个基于YARA的静态凭证扫描工具。支持二进制文件格式、嵌套文档分析、可组合规则集和忽略列表以及SARIF报告。当前版本的Stacs支持tarball、gzip、bzips、zips、7z、iso、rpm和xz文件的递归解包。由于Stacs处理它检测到的文件类型,而不是文件名,因此该工具将自动支持基于这些类型的适当文件格式,例如Docker图像、AndroidAPK和JavaJAR文件。谁应该使用Stacs?Stacs可以帮助任何需要处理二进制文件的安全团队,因为Stacs可以为开发人员提供自动检查目标代码版本中是否意外包含静态凭证和敏感数据的能力。但是,这并不意味着Stacs不适用于Saas应用层、企业软件或产品源代码。例如,我们可以使用Stacs在上传到公共或私有容器的Docker镜像中查找静态凭证。除此之外,我们还可以搜索意外编译成可执行文件、移动设备包和“公司文档”的凭证,例如Java应用程序服务器通过Stacs使用的凭证。工具使用Stacs的最简单方法是通过在DockerHub中发布的Docker镜像。不过也可以直接通过Python的PyPI安装Stacs,也可以直接使用如下命令将项目源码clone到本地:gitclonehttps://github.com/stacscan/stacs。这将直接帮助我们完成组件扫描。我们可以直接在扫描容器中加载大量文件,交给StacsDocker镜像进行扫描。比如我们可以使用如下命令直接扫描当前目录下的所有内容:dockerrun\--rm\--mounttype=bind,source=$(pwd),target=/mnt/stacs/input\stacscan/stacs:latest默认情况下,Stacs将以SARIF格式将所有发现直接输出到STDOUT,确保一切有序,并且记录所有消息并发送到STDERR。PyPI安装我们也可以通过Python的PyPi安装Stacs。此时我们可以直接在本地开发环境中通过“stacs”命令进行项目扫描。我们可以直接通过PyPI使用如下命令安装Stacs:pipinstallstacsMicrosoftSARIFreport查看Stacs当前版本数据输出格式只支持SARIFv2.1.0,下图是我们使用Stacs在一个Docker镜像中找到的结果:项目地址Stacs:[GitHub门户]
