Grepmarx：一款功能强大的应用程序源代码静态分析平台

Grepmarx是一款功能强大的应用程序源代码静态分析平台，该平台专为应用程序安全研究人员设计，可以帮助我们快速了解、分析和识别大规模未知代码库中潜在的安全漏洞。

功能介绍

Grepmarx提供了以下SAST（静态分析安全测试）功能：

1、支持多种编程语言：C/C++、C#、Go、HTML、Java、Kotlin、JavaScript、TypeScript、OCaml、PHP、Python、Ruby、Bash、Rust、Scala、Solidity、Terraform、Swift； 2、支持多种框架：Spring、Laravel、Symfony、Django、Flask、Node.js、jQuery、Express、Angular； 3、已包含1600+现有的分析规则； 4、支持使用Semgrep语句轻松扩展分析规则：https://semgrep.dev/editor； 5、支持管理规则包中的规则以定制代码扫描；

Grepmarx提供了以下SCA（软件组成分析）功能：

1、支持多种包依赖格式：NPM、Maven、Gradle、Composer、pip、Gopkg、Gem、Cargo、NuPkg、CSProj、PubSpec、Cabal、Mix、Conan、Clojure、Docker、GitHub Actions、Jenkins HPI、Kubernetes； 2、SBOM生成；

其他功能：

1、提供了用于高效浏览扫描结果的分析工作台； 2、扫描未编译的代码； 3、代码行计数器； 4、检查器，用于自动发现应用程序功能； 5、暗黑模式；

工具执行

Grepmarx提供了预配置文件，可以允许广大研究人员在Docker和Gunicorn中直接使用Grepmarx。

Docker执行

请确保你已经在本地设备上安装并配置好了docker-composer，并运行了docker守护进程。

接下来，使用下列命令将该项目源码克隆至本地：

$ git clone https://github.com/Orange-Cyberdefense/grepmarx.git
$ cd grepmarx

（向右滑动，查看更多）

在Docker中启动应用程序：

$ sudo docker-compose pull && sudo docker-compose build && sudo docker-compose up -d
（向右滑动，查看更多）

在浏览器中访问http://localhost:5000，就可以看到Grepmarx正在运行了。

注意，第一次启动时默认的用户账号为admin/admin，请在登录后立即修改默认密码。

Gunicorn执行

首先，我们需要在本地设备上安装并配置好Python环境。

接下来，使用pip命令安装Gunicorn：

$ pip install gunicorn supervisor

使用Gunicorn启动Grepmarx：

$ supervisord -c supervisord.conf

在浏览器中访问http://localhost:8001后即可访问Grepmarx了。

注意，第一次启动时默认的用户账号为admin/admin，请在登录后立即修改默认密码。

工具运行截图

自定义扫描

分析工作台

规则包版本

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

Grepmarx：

【https://github.com/Orange-Cyberdefense/grepmarx】