Suchen

Tool-Tipp: DevAudit Sicherheits-Audits mit DevAudit

| Autor / Redakteur: Thomas Joos / Peter Schmitz

DevAudit ist ein plattformübergreifendes Open-Source-Tool für Sicherheits-Audits, das gerade in gemischten Umgebungen helfen soll, die IT-Security zu kontrollieren. Vor allem in Umgebungen, in denen auf DevOps und DevSecOps gesetzt wird, bietet das Tool einige Vorteile. In diesem Tool-Tipp zeigen wir, wie DevAudit unter Windows, Linux und Docker funktioniert.

Firma zum Thema

In diesem Tool-Tipp zeigen wir, wie man mit dem Open-Source-Tool DevAudit die IT-Sicherheit von gemischten Netzwerkumgebungen kontrolliert.
In diesem Tool-Tipp zeigen wir, wie man mit dem Open-Source-Tool DevAudit die IT-Sicherheit von gemischten Netzwerkumgebungen kontrolliert.
(© sdecoret - adobe.stock.com)

Die Open-Source-Software DevAudit bietet verschiedene Auditing-Funktionen, mit denen die Implementierung von Security Audits im Rahmen der Softwareentwicklung automatisiert werden. Das Tool kann Betriebssysteme, Anwendungspakete, die Konfigurationen von Anwendungs- und Applikationsservern sowie den Anwendungscode auf potenzielle Schwachstellen überprüfen. Dabei setzt das Tool auf Daten von Anbietern wie OSS Index und Vulnern. Auch der CVE-Datenfeed, die National Vulnerability Database (NVD), der Datenfeed der Debian Security Advisories und Drupal Security Advisories werden gesammelt und können umgesetzt werden. Das Ziel von DevAudit ist es, eine Plattform für die Automatisierung von Entwicklungssicherheitsüberprüfungen und Best Practices auf allen Ebenen bereitzustellen.

Wie man mit dem Open-Source-Tool DevAudit die IT-Sicherheit von gemischten Netzwerkumgebungen kontrolliert, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.

Bildergalerie
Bildergalerie mit 6 Bildern

DevAudit für Windows, Linux und Docker

DevAudit kann Windows und Linux betrieben werden. Das Tool benötigt eine aktuelle Version von .NET oder Mono erforderlich. Im Docker-Hub gezogen steht auch ein Image für Docker zur Verfügung. Die Open-Source-Software verfügt über eine CLI-Schnittstelle. Diese kann in Entwickler-IDEs integriert werden. Ein Beispiel ist die Integration in Visual Studio. Durch die Integration von OSS Index und Vulners erhält das Tool ständig aktualisierte Schwachstellendaten. Auch die Anbindung von vFeed und Libraries.io ist möglich.

DevAudit überprüft Windows-Anwendungen und Pakete, die über MSI, Chocolatey und OneGet installiert installiert werden. Auch Debian-, Ubuntu- und CentOS-Pakete werden überprüft. Dazu kommen Überprüfungen für .NET, Yarn/NPM, nodejs und PHP. Die Entwickler erweitern regelmäßig die Funktionen und Quellen, die DevAudit überprüfen kann. DevAudit überprüft auf Anforderung auch die Serverversion und die Serverkonfiguration für OpenSSH sshd, Apache httpd, MySQL/MariaDB, PostgreSQL und Nginx-Server. Auch hier werden die Funktionen ständig erweitert.

Die Regeln für die Serverkonfiguration werden in YAML-Dateien gespeichert und können angepasst werden. Microsoft ASP.NET-Anwendungen lassen sich mit DevAudit ebenfalls auditieren. Hier erkennt das Tool zum Beispiel auch Schwachstellen, die in der Anwendungskonfiguration vorhanden sind. Drupal und WordPress sollen ebenfalls angebunden werden.

SSH und gemischte Umgebungen auditieren

DevAudit kann sich über SSH mit Hosts verbinden, ohne dass Software auf den Computern im Netzwerk installiert werden muss. Dafür wird lediglich ein SSH-Login benötigt Wird das Tool unter Windows betrieben, lassen sich Linux-Hosts mit SSH ansprechen und überprüfen. Andere Windows-Computer werden mit WinRM angebunden.

Docker-Container auf Docker-Hosts lassen sich mit dem Tool ebenfalls auditieren, das gilt auch für Repositories auf GitHub. Dabei kann zum Beispiel auch eine Überprüfung der Paketquellen- und Anwendungskonfiguration durchgeführt werden. In Windows-Umgebungen kann DevAudit auch in einer PowerShell-Sitzung als Cmdlet ausgeführt werden.

Hier arbeiten die Entwickler aber noch an der erfolgreichen Umsetzung dieser Funktion. Es ist geplant, dass nicht nur die PowerShell in Windows genutzt werden kann, sondern auch die neuen Versionen 7.x der PowerShell, die auch für Linux und macOS zur Verfügung steht. Die neue Version 7 der PowerShell ersetzt auch in Windows die herkömmliche PowerShell.

Wie man mit dem Open-Source-Tool DevAudit die IT-Sicherheit von gemischten Netzwerkumgebungen kontrolliert, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.

Bildergalerie
Bildergalerie mit 6 Bildern

DevAudit installieren und nutzen

DevAudit kann über verschiedene Wege auf Systemen installiert werden. Neben der Verwendung des Quellcodes, können die Binaries für Windows und Linux bei GitHub heruntergeladen werden. Für Windows steht ein Installer zur Verfügung. Das Docker-Images kann direkt aus dem Docker-Hub bezogen werden, zum Beispiel mit „docker pull ossindex/devaudit“. Die Installation über Chocolatey ist mit dem Befehl „choco install devaudit“ ebenfalls möglich. Um Chocolatey in Windows zu installieren, kann zum Beispiel in der PowerShell der folgende Befehl eingegeben werden:

Set-ExecutionPolicy Bypass -Scope Process -Force; iex ((New-Object System.Net.WebClient).DownloadString('https://chocolatey.org/install.ps1'))

Die PowerShell muss dazu mit erhöhten Rechten gestartet werden. Nach dem Aufrufen von „DevAudit“ werden die Optionen des Tools angezeigt. Um zum Beispiel Docker-Container mit DevAudit zu überprüfen, werden die beiden Optionen „-i CONTAINER_NAME | -i CONTAINER_ID“ genutzt. Das Tool wird mit folgender Syntax genutzt:

devaudit TARGET [ENVIRONMENT] | [OPTIONS]

Soll zum Beispiel eine ASP.NET-Anwendung auf dem Laufwerk „D“ geprüft werden, wird der folgende Befehl genutzt:

devaudit aspnet -r D:\Apps\DNN_Platform_9.0.2_install -c @web.config

DevAudit enthält im Unterverzeichnis “Examples” verschiedene Beispiele, mit denen sich die Funktion des Tools testen lässt. Um zum Beispiel Lücken für ein Nuget-Paket zu scannen, kann der folgende Befehl verwendet werden:

devaudit nuget -f c:\temp\devaudit\examples\packages.config.example.2

Wie man mit dem Open-Source-Tool DevAudit die IT-Sicherheit von gemischten Netzwerkumgebungen kontrolliert, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.

Bildergalerie
Bildergalerie mit 6 Bildern

(ID:46366607)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist