Visão Geral

Nesta seção, você vai encontrar as informações iniciais sobre o Horusec antes de se aprofundar no produto.

É uma ferramenta open source que orquestra outras ferramentas de segurança e identifica falhas de segurança ou vulnerabilidades em projetos, centralizando todos os resultados em um banco de dados para análise e geração de métricas.

Atualmente, o Horusec seleciona as linguagens e ferramentas a serem utilizadas no projeto de acordo com a stack disponível. Veja todas as linguagens suportadas e ferramentas disponíveis na plataforma

Onde usar o Horusec ?

Localmente

O Horusec conta com uma CLI intuitiva e pensada para desenvolvedores onde é possível realizar uma análise localmente da máquina do desenvolvedor.

Esteira de CI/CD

Nas esteiras de Continuos Integration ou Continuos Deploy é possível adicionar o Horusec garantindo mais uma camada de segurança em seu projeto, além de previnir que um código malicioso não entre em produção.

Extensões para IDE

A IDE em inglês Integrated Development Environment ou Ambiente de Desenvolvimento Integrado é muito comum o uso de extensões e plugins para auxiliar no seu desenvolvimento. Como o horusec vem com a proposta para ajudar nas entregas com velocidade é possível realizar uma análise através da própria extensão.

Como funciona o Horusec?

Quando o horusec inícia uma análise ele executa os passos abaixo:

1- Ao iníciar uma análise em seu projeto através da Horusec-CLI ela irá identificar quais são as linguagens que tem atualmente no projeto;
2- Agora a ferramenta irá iniciar as ferramentas de análise de acordo com a linguagens identificadas buscando possíveis vulnerabilidades;
3- Quando a análise terminar será realizada 3 ações:
- 3.1- Mostrar no output da análise seja na sua interface ou em arquivo;
- 3.2- Se caso você estiver utilizando em sua esteira o processo de CI/CD e desejar que o pipeline aborte as operações será enviado um retorno do tipo exit 1 para não proceder para o próximo passo até que se corrija todas as vulnerabilidades, caso não encontre nenhum será retornado um status do tipo exit 0 indo para o proximo passo
- 3.3- Enviar para o Horusec-Manager(plataforma web) onde você poderá ver as vulnerabilidades encontradas de forma análitica e poder fazer a gestão do seu projeto;

Veja abaixo um exemplo completo do Horusec:

Por que usar o Horusec?

Promove a cultura do desenvolvimento seguro aplicando a lógica de “security by design”

Ele traz para você segurança, garantindo que possíveis vulnerabilidades desconhecidas serão encontradas pela análise do Horusec.

Melhora a sua experiência

Garante a segurança dos projetos no processo de CI e CD e, assim, reduz os custos de correção de uma vulnerabilidade.

Tipos de análises do Horusec

O Horusec realiza 4 tipos de análises de desempenho para identificar se existe alguma falha de segurança:

SAST (Static Application Security Testing |Teste Estático de Segurança de Aplicação)

O SAST faz a análise estática de vulnerabilidade de código. Elas podem ser feitas em código fonte, byte code ou binário.

Leaks (Vazamento de chaves)

O Leaks procura no código fonte possíveis vazamentos de credenciais, chaves privadas ou senhas Hard coded.

Auditoria de dependência

É realizada uma auditoria de dependência para verificar a possibilidade de vulnerabilidades em bibliotecas de terceiros.

Feedback

Was this page helpful?

Glad to hear it! Please tell us how we can improve.

Sorry to hear that. Please tell us how we can improve.

Última modificação 20.05.2021: Fix version 1.0.0 with new links (a868f86)