Back to Projects
Security Tool

Source Code Security Scanner

Hệ thống quét bảo mật source code tự động với 15+ công cụ opensource, tích hợp DefectDojo để quản lý lỗ hổng tập trung. Phát hiện 593+ lỗ hổng thực tế.

2024-12View on GitHub →
SecurityDevSecOpsSASTDockerAutomationDefectDojo

Overview

Hệ thống quét bảo mật source code tự động tích hợp 15+ công cụ scan bảo mật opensource hàng đầu với DefectDojo Vulnerability Management Platform. Giúp phát hiện sớm các lỗ hổng bảo mật như SQL Injection, XSS, Hardcoded Secrets và 500+ loại lỗ hổng khác trước khi deploy lên production.

Key Features

15+ Security Scanning Tools

Tích hợp đầy đủ các công cụ scan hàng đầu:

  • SAST: Semgrep, Bandit, ESLint Security
  • Secret Detection: Gitleaks, TruffleHog, Detect-Secrets
  • Container Security: Trivy, Grype
  • IaC Security: Checkov, KICS, Terrascan
  • SCA: OWASP Dependency-Check, Safety

DefectDojo Integration

Quản lý lỗ hổng tập trung với DefectDojo:

# Quick start workflow
make defectdojo-init    # Khởi tạo DefectDojo
make scan              # Chạy tất cả scanners
make import            # Import findings vào DefectDojo
make open-defectdojo   # Mở DefectDojo UI

5 Loại Scan Bảo mật

  1. SAST (Static Application Security Testing): Phân tích source code tìm lỗ hổng
  2. Secret Detection: Phát hiện API keys, passwords, tokens
  3. Container Security: Scan Docker images và dependencies
  4. IaC Security: Kiểm tra Terraform, CloudFormation, Kubernetes configs
  5. SCA (Software Composition Analysis): Phân tích thư viện bên thứ 3

Báo Cáo Tiếng Việt

Tạo báo cáo HTML tiếng Việt với hướng dẫn fix cụ thể:

# Ví dụ báo cáo
Lỗ hổng: SQL Injection
Mức độ: Critical
File: app/controllers/user.py
Line: 45

Code SAI:
query = f"SELECT * FROM users WHERE id = {user_id}"

Code ĐÚNG:
query = "SELECT * FROM users WHERE id = ?"
cursor.execute(query, (user_id,))

Architecture

┌─────────────────┐
│  Source Code    │
└────────┬────────┘
         │
    ┌────▼────┐
    │  Scan   │
    │ Engine  │
    └────┬────┘
         │
    ┌────▼────────────────────────┐
    │  15+ Security Scanners      │
    │  Semgrep │ Trivy │ Gitleaks │
    │  Checkov │ KICS  │ Grype    │
    └────┬────────────────────────┘
         │
    ┌────▼────────┐
    │  DefectDojo │
    │  Dashboard  │
    └─────────────┘

Performance & Results

Real-World Testing

Đã test với WebGoat project (OWASP vulnerable application):

  • 593+ lỗ hổng được phát hiện
  • 15 công cụ chạy song song
  • < 5 phút để scan toàn bộ project
  • 100% tự động import vào DefectDojo

Deduplication Intelligence

DefectDojo tự động loại bỏ findings trùng lặp từ nhiều scanners:

Semgrep: 245 findings
Bandit: 189 findings
ESLint: 159 findings
─────────────────────
After dedup: 593 unique findings

Docker Compose Workflow

Setup trong 5 phút với Docker Compose:

services:
  defectdojo:
    image: defectdojo/defectdojo-django
    ports:
      - "8080:8080"
  
  scanner:
    build: ./scanner
    volumes:
      - ./source:/code
    depends_on:
      - defectdojo

Usage

Quick Start

# Clone repository
git clone https://github.com/datntpro/security-scanning-stack
cd security-scanning-stack

# Initialize DefectDojo
make defectdojo-init

# Scan your project
make scan TARGET=/path/to/your/project

# Import results to DefectDojo
make import

# Open DefectDojo dashboard
make open-defectdojo

CI/CD Integration

Tích hợp vào GitHub Actions:

name: Security Scan
on: [push, pull_request]

jobs:
  security-scan:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
      - name: Run Security Scan
        run: |
          docker-compose up -d defectdojo
          make scan
          make import

Impact

For Developers

  • Phát hiện lỗ hổng sớm trong development cycle
  • Giảm 70% thời gian fix bugs (fix sớm = dễ hơn)
  • Học được best practices từ báo cáo

For Security Teams

  • Quản lý lỗ hổng tập trung với DefectDojo
  • Track remediation progress theo thời gian
  • Generate compliance reports tự động

For Organizations

  • Giảm rủi ro bảo mật trước khi deploy
  • Tiết kiệm chi phí so với manual security review
  • Đáp ứng compliance requirements (PCI-DSS, ISO 27001)

Future Enhancements

  • Thêm AI-powered vulnerability prioritization
  • Tích hợp với Jira để tạo tickets tự động
  • Support thêm ngôn ngữ: Go, Rust, Swift
  • Cloud deployment trên AWS/Azure/GCP
  • Real-time scanning với file watchers
  • Custom rules engine cho enterprise

Tech Stack

  • Orchestration: Docker Compose, Makefile
  • Scanners: 15+ opensource security tools
  • Vulnerability Management: DefectDojo
  • Reporting: Python, Jinja2 templates
  • CI/CD: GitHub Actions, GitLab CI

Recognition

  • 593+ vulnerabilities detected in real-world testing
  • 🚀 5-minute setup với Docker Compose
  • 📊 15+ tools tích hợp sẵn
  • 🇻🇳 Vietnamese reports với hướng dẫn fix cụ thể
  • 🔄 Production-ready cho enterprise use
Back to Projects