kisa-secure-coding-rules/scan.sh at main · trident90/kisa-secure-coding-rules · GitHub

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
#!/bin/bash
# ============================================================================
# KISA 소프트웨어 개발보안 가이드 - Semgrep 스캔 실행 스크립트
# 49개 보안약점 점검
# ============================================================================

set -e

# 색상 정의
RED='\033[0;31m'
GREEN='\033[0;32m'
YELLOW='\033[1;33m'
BLUE='\033[0;34m'
NC='\033[0m' # No Color

# 기본값
SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
RULES_DIR="${SCRIPT_DIR}/rules"
OUTPUT_FORMAT="text"
OUTPUT_FILE=""
TARGET_PATH="."
CATEGORY=""
SEVERITY=""

# 사용법 출력
usage() {
    echo "사용법: $0 [옵션] <스캔대상경로>"
    echo ""
    echo "옵션:"
    echo "  -o, --output <파일>     결과 출력 파일 (기본: stdout)"
    echo "  -f, --format <형식>     출력 형식: text, json, sarif (기본: text)"
    echo "  -c, --category <카테고리> 특정 카테고리만 스캔"
    echo "      가능한 값: input-validation, security-features, time-state,"
    echo "                error-handling, code-errors, encapsulation, api-misuse"
    echo "  -s, --severity <심각도>  최소 심각도: INFO, WARNING, ERROR"
    echo "  -l, --lang <언어>       특정 언어만 스캔 (java, python, javascript, go, c)"
    echo "  -h, --help              도움말 출력"
    echo ""
    echo "예시:"
    echo "  $0 /path/to/project"
    echo "  $0 -f json -o results.json /path/to/project"
    echo "  $0 -c input-validation /path/to/project"
    echo "  $0 -s ERROR /path/to/project"
    exit 1
}

# 인자 파싱
while [[ $# -gt 0 ]]; do
    case $1 in
        -o|--output)
            OUTPUT_FILE="$2"
            shift 2
            ;;
        -f|--format)
            OUTPUT_FORMAT="$2"
            shift 2
            ;;
        -c|--category)
            CATEGORY="$2"
            shift 2
            ;;
        -s|--severity)
            SEVERITY="$2"
            shift 2
            ;;
        -l|--lang)
            LANG_FILTER="$2"
            shift 2
            ;;
        -h|--help)
            usage
            ;;
        -*)
            echo "알 수 없는 옵션: $1"
            usage
            ;;
        *)
            TARGET_PATH="$1"
            shift
            ;;
    esac
done

# Semgrep 설치 확인
if ! command -v semgrep &> /dev/null; then
    echo -e "${RED}오류: Semgrep이 설치되어 있지 않습니다.${NC}"
    echo "설치: pip install semgrep"
    exit 1
fi

# 대상 경로 확인
if [ ! -e "$TARGET_PATH" ]; then
    echo -e "${RED}오류: 스캔 대상 경로가 존재하지 않습니다: $TARGET_PATH${NC}"
    exit 1
fi

# 룰 디렉토리 결정
if [ -n "$CATEGORY" ]; then
    SCAN_RULES="${RULES_DIR}/${CATEGORY}"
    if [ ! -d "$SCAN_RULES" ]; then
        # 개별 yaml 파일인 경우
        SCAN_RULES="${RULES_DIR}/${CATEGORY}.yaml"
        if [ ! -f "$SCAN_RULES" ]; then
            echo -e "${RED}오류: 카테고리를 찾을 수 없습니다: $CATEGORY${NC}"
            exit 1
        fi
    fi
else
    SCAN_RULES="$RULES_DIR"
fi

# Semgrep 명령 구성
SEMGREP_CMD="semgrep --config $SCAN_RULES"

# 출력 형식 설정
case $OUTPUT_FORMAT in
    json)
        SEMGREP_CMD="$SEMGREP_CMD --json"
        ;;
    sarif)
        SEMGREP_CMD="$SEMGREP_CMD --sarif"
        ;;
    text)
        # 기본값
        ;;
    *)
        echo -e "${RED}오류: 알 수 없는 출력 형식: $OUTPUT_FORMAT${NC}"
        exit 1
        ;;
esac

# 심각도 필터
if [ -n "$SEVERITY" ]; then
    SEMGREP_CMD="$SEMGREP_CMD --severity $SEVERITY"
fi

# 언어 필터
if [ -n "$LANG_FILTER" ]; then
    SEMGREP_CMD="$SEMGREP_CMD --lang $LANG_FILTER"
fi

# 출력 파일 설정
if [ -n "$OUTPUT_FILE" ]; then
    SEMGREP_CMD="$SEMGREP_CMD -o $OUTPUT_FILE"
fi

# 대상 경로 추가
SEMGREP_CMD="$SEMGREP_CMD $TARGET_PATH"

# 스캔 실행
echo -e "${BLUE}============================================${NC}"
echo -e "${BLUE}KISA 소프트웨어 개발보안 가이드 스캔${NC}"
echo -e "${BLUE}49개 보안약점 점검${NC}"
echo -e "${BLUE}============================================${NC}"
echo ""
echo -e "${GREEN}스캔 대상:${NC} $TARGET_PATH"
echo -e "${GREEN}룰셋:${NC} $SCAN_RULES"
echo -e "${GREEN}출력 형식:${NC} $OUTPUT_FORMAT"
[ -n "$OUTPUT_FILE" ] && echo -e "${GREEN}출력 파일:${NC} $OUTPUT_FILE"
[ -n "$SEVERITY" ] && echo -e "${GREEN}최소 심각도:${NC} $SEVERITY"
[ -n "$LANG_FILTER" ] && echo -e "${GREEN}언어 필터:${NC} $LANG_FILTER"
echo ""
echo -e "${YELLOW}스캔을 시작합니다...${NC}"
echo ""

# 실행
eval $SEMGREP_CMD
RESULT=$?

echo ""
if [ $RESULT -eq 0 ]; then
    echo -e "${GREEN}스캔이 완료되었습니다.${NC}"
else
    echo -e "${YELLOW}스캔이 완료되었습니다. (발견된 이슈 있음)${NC}"
fi

exit $RESULT