關于DefectDojo

DefectDojo是一個功能強大的DevSecOps解決方案,同時它也是一個安全協調和漏洞管理平臺。

DefectDojo允許我們管理應用程序安全產品,維護產品狀態和應用程序信息,并對安全漏洞進行管理和分類,同時還支持將發現的結果推送到類似JIRA和Slack之類的系統。DefectDojo使用了大量啟發式算法來豐富和細化漏洞數據,這些算法的有效性和準確性會隨著平臺的使用次數而提升改進。

工具架構

當前版本的DefectDojo平臺由下列幾個組件共同組成:

工具安裝

首先,廣大研究人員需要使用下列命令將該項目源碼克隆至本地:

git clone https://github.com/DefectDojo/django-DefectDojo

然后切換到項目目錄中,使用下列命令完成代碼構建:

cd django-DefectDojo

./dc-build.sh

構建完成后,我們就可以直接運行DefectDojo了:

./dc-up.sh postgres-redis

此時,我們需要等待幾分鐘讓工具完成初始化,并獲取管理員憑證。

除此之外,我們還可以使用docker-compose來記錄初始化進程:

docker-compose logs initializer | grep "Admin password:"

現在,我們就可以打開Web瀏覽器,通過訪問http://localhost:8080來使用DefectDojo了。

工具更新

拉取最新版本的DefectDojo Docker鏡像:

docker pull defectdojo/defectdojo-django:latest

docker pull defectdojo/defectdojo-nginx:latest

切換到docker-compose.yml文件所在目錄,運行下列命令終止DefectDojo運行:

./dc-stop.sh

然后重啟DefectDojo:

./dc-up-d.sh

執行初始化日志跟蹤:

docker-compose logs initializer

如果初始化失敗,則運行下列命令:

docker-compose exec uwsgi /bin/bash -c "python manage.py migrate"

工具使用

DefectDojo儀表盤:

數據標簽:

風險管理:

重復數據消除:

服務級別協議:


安全報告:

權限配置:

系統通知設置:

Burp插件使用


在線使用

在線服務:https://demo.defectdojo.org

注意事項:登錄賬戶名和密碼為“admin / 1Defectdojo@demo#appsec”,在線服務是公開可訪問的,并且會定期重置,請不要存儲任何敏感數據。

工具視頻演示

演示視頻:https://www.youtube.com/channel/UCWw9qzqptiIvTqSqhOFuCuQ

許可證協議

本項目的開發與發布遵循BSD-3-Clause開源許可證協議。

項目地址

DefectDojo:https://github.com/DefectDojo/django-DefectDojo"

參考資料

https://www.defectdojo.com/
https://owasp-slack.herokuapp.com/
https://www.linkedin.com/company/defectdojo
https://twitter.com/defectdojo


DefectDojo
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接