Jshole – JavaScript 组件漏洞扫描器，基于 RetireJS

Jshole 是一个基于 RetireJS 的 JavaScript 组件漏洞扫描器，旨在帮助开发人员及早发现和修复 JavaScript 组件中的安全漏洞，以提高应用程序的安全性和稳定性。

特性

• 快速扫描：Jshole 使用高效的算法和多线程处理，能够快速扫描大量的 JavaScript 代码和组件。
• 基于 RetireJS：Jshole 基于 RetireJS，它是一个广泛使用的工具，用于检测 JavaScript 组件中的已知漏洞和弱点。
• 多种检测方式：Jshole 支持多种扫描方式，包括本地文件扫描和远程 URL 扫描，以适应不同的开发环境和需求。
• 自定义规则：Jshole 允许开发人员定义自己的检测规则，以针对特定的漏洞或弱点进行扫描。
• 报告生成：Jshole 生成详细的漏洞报告，将扫描结果以可读性强的 markdown 格式呈现，方便开发人员快速定位和修复漏洞。

安装与使用

使用 npm 包管理工具安装 Jshole：

$ npm install -g jshole

在命令行中运行 Jshole：

$ jshole scan path/to/javascript/code

Jshole 将开始扫描指定路径下的 JavaScript 代码，并输出漏洞报告。支持的命令行参数包括：

• --remote：指定远程 URL 扫描模式。
• --rules path/to/rules.json：指定自定义规则文件。

示例漏洞报告

下面是 Jshole 生成的漏洞报告的示例：

# Jshole 漏洞报告

## 扫描结果

- 发现 5 个组件中存在安全漏洞。
- 发现 2 个组件中存在潜在弱点。

## 详细报告

### 组件一

- 组件名称: `example-component`
- 漏洞种类: Cross-Site Scripting
- 漏洞等级: 高危
- 漏洞描述: 组件中的某个函数未正确处理用户输入，存在跨站脚本漏洞。

> 建议立即修复该漏洞，以避免潜在的安全威胁。

### 组件二

- 组件名称: `another-component`
- 漏洞种类: Remote Code Execution
- 漏洞等级: 紧急
- 漏洞描述: 组件中的某个依赖库存在已知的远程代码执行漏洞。

> 强烈建议立即升级或移除该依赖库，以确保应用程序的安全性。

### ...

更多漏洞报告详见附件。

自定义规则

可以通过创建一个规则文件来定义自己的检测规则。规则文件是一个 JSON 格式的文件，示例如下：

{
  "rules": [
    {
      "name": "Custom Rule 1",
      "keyword": "custom1",
      "description": "自定义规则描述",
      "severity": "high",
      "pattern": "custom1\\(.*\\)"
    },
    {
      "name": "Custom Rule 2",
      "keyword": "custom2",
      "description": "自定义规则描述",
      "severity": "medium",
      "pattern": "custom2\\(.*\\)"
    }
  ]
}

在运行时通过 --rules 参数指定自定义规则文件的路径：

$ jshole scan path/to/javascript/code --rules path/to/rules.json

总结

Jshole 是一个强大的 JavaScript 组件漏洞扫描器，借助于基于 RetireJS 的底层技术，它能够帮助开发人员及时发现和修复 JavaScript 组件中的安全漏洞。通过快速扫描和详细的报告，Jshole 提供了一个全面的解决方案，可以提高应用程序的安全性和稳定性。

欢迎访问 Jshole 官方网站 获取更多信息或提交反馈。

Jshole 是一个开源项目，欢迎贡献代码和提出问题。