如何使用poutine检测代码库构建管道中的安全缺陷

关于poutine

poutine是一款功能强大的缺陷检测工具,该工具基于Go语言开发,可以帮助广大研究人员快速扫描和检测代码存储库构建管道中的错误配置和安全漏洞。

该工具支持解析来自 GitHub Actions 和 Gitlab CI/CD 的 CI 工作流。当获得具有读取级别访问权限的访问令牌时,poutine可以分析组织的所有存储库,以快速了解组织软件供应链的安全状况。

支持的平台

GitHub Actions

GitHub管道

Azure DevOps

Pipelines As Code Tekton

工具安装

源码构建

由于该工具基于Go语言开发,因此我们首先需要在本地设备上安装并配置好最新版本的Go运行环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

复制代码
git clone https://github.com/boostsecurityio/poutine.git

然后切换到项目目录中,使用make命令构建项目代码即可:

复制代码
cd poutine

make build

发布版本

广大研究人员可以直接访问该项目【Releases页面】下载poutine的最新预编译版本,并将二进制文件添加到您的 $PATH。

Homebrew

复制代码
brew install poutine

Docker

复制代码
docker run -e GH_TOKEN ghcr.io/boostsecurityio/poutine:latest

GitHub Actions

复制代码
...

jobs:

  poutine:

    runs-on: ubuntu-latest

    permissions:

      security-events: write

      contents: read

    steps:

    - uses: actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11 # v4.1.1

#################################################################################################

    - name: poutine - GitHub Actions SAST

      uses: boostsecurityio/poutine-action@main # We recommend to use a tagged version and pin it

#################################################################################################

    - name: Upload poutine SARIF file

      uses: github/codeql-action/upload-sarif@4355270be187e1b672a7a1c7c7bae5afdc1ab94a # v3.24.10

      with:

        sarif_file: results.sarif

工具使用

复制代码
poutine [command] [arguments] [options]

分析一个本地库:

复制代码
poutine analyze_local .

分析一个远程GitHub库:

复制代码
poutine analyze_repo org/repo --token "$GH_TOKEN"

分析GitHub中一个组织的所有库:

复制代码
poutine analyze_org org --token "$GH_TOKEN"

分析一个自托管Gitlab实例中的所有项目:

复制代码
poutine analyze_org my-org/project --token "$GL_TOKEN" --scm gitlab --scm-base-uri https://gitlab.example.com

配置参数选项

复制代码
--token          SCM访问令牌

--format          输出格式(默认:pretty、json、sarif)

--ignore-forks     忽略组织中的fork存储库(analyze_org)

--scm            SCM平台(默认:github、gitlab)

--scm-base-uri   自托管SCM实例的URI基地址

--threads        要使用的线程数(默认:2)

--config         配置文件的路径(默认:.poultine.yml)

--verbose        启用调试日志记录

更新构建平台CVE数据库

复制代码
go test -tags build_platform_vuln_database ./...

opa fmt -w opa/rego/external/build_platform.rego

工具运行演示

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可协议。

项目地址

poutine :【GitHub传送门

参考资料

https://boostsecurity.io/

https://en.wikipedia.org/wiki/Poutine

https://github.com/messypoutine

相关推荐
QYR-分析8 小时前
机器人安全控制器行业高速扩容 本土替代迎来全新发展窗口期
人工智能·安全·机器人
IpdataCloud8 小时前
担心IP暴露隐私?用安全IP查询工具自查,三步配置网络出口
网络·tcp/ip·安全·ip
JerrySir12 小时前
恶意 npm 包只活了 17 分钟:技术面试里,为什么“升级依赖”还不算止血?
javascript·安全
白帽小阳12 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
xd18557855513 小时前
电影匹配引擎-基于鸿蒙的心情电影推荐应用开发实践
人工智能·安全·华为·harmonyos·鸿蒙
白帽小阳13 小时前
[特殊字符]【2026最新】零基础入门学网络安全(详细路线图),看这篇就够了!
学习·安全·web安全·网络安全·安全运营·学习路线·web渗透
qetfw15 小时前
CentOS 7 配置 iptables 防火墙
安全
磐链科技15 小时前
区块链链游安全警示:常见漏洞与攻击手段
安全·区块链
数据知道16 小时前
HTTP/HTTPS 安全深度剖析:抓包、解密与证书陷阱
安全·http·https·mitmproxy·抓包解密
AI创界者17 小时前
安全测试环境搭建:在 Kali Linux 中部署与配置开源 WebShell 管理工具 AntSword(蚁剑)
linux·运维·安全