joern安装手册.docx

joern安装手册，一个代码漏洞检查工具，对代码属性图进行遍历。《Modeling and Discovering Vulnerabilities with Code Property Graphs》。原文章几个软件都在github上开源了，都是原作者Fabian现在所在的公司ShiftLeft Security发布的，分别有code property graph、fuzzyc2cpg和joern三个关联的项目 Joern是一款用于代码漏洞检查的工具，它基于代码属性图（Code Property Graphs, CPG）进行遍历和分析，帮助发现潜在的安全漏洞。Joern的安装过程涉及到多个步骤，包括JDK7、Neo4J、Gremlin以及Joern自身库的安装。以下是详细的安装流程： 1. **Java Development Kit (JDK) 1.7 安装**： - 从Oracle官网下载适用于Linux的JDK7安装包。 - 安装JDK7，通常包括解压、配置环境变量等步骤。确保`JAVA_HOME`环境变量指向正确安装路径。 - 使用`sudo`命令解决权限问题，例如使用`sudo cp`将JDK文件移动到指定位置。 2. **Neo4J 2.1.5 安装**： - Neo4J是一款图形数据库，Joern依赖它来存储和处理代码属性图。 - 由于2.1.5版本较旧，可能无法直接从官网下载，可以尝试使用`apt-get`在终端执行特定命令进行安装。 - 安装完成后，确保Neo4J能够正常启动并运行。 3. **Gremlin 安装**： - Gremlin是一种图遍历语言，用于与Neo4J交互。 - 安装过程复杂，这里直接提供预配置好的Gremlin数据库，解压后与JDK放在一起使用。 - 解压后的Neo4J社区版2.1.8应可直接使用，但需与Joern安装验证是否兼容。 4. **Joern 库安装**： - Joern的官方文档提供了安装指南。 - 如果无法访问提供的lib下载链接，可以使用提供的lib.tar.gz替代。 - 在运行`ant`构建时可能出现错误，如找不到`tools.jar`，需手动找到该文件并复制到指定目录。 - 若遇到`lib`目录问题，可能需要删除原有文件并创建新文件夹后再复制。 - 安装过程中还需确保已安装了Python库py2neo的特定版本，避免安装最新版本导致不兼容。 5. **其他依赖**： - 安装过程中可能会提示缺少某些包，如`pip`安装的库，根据提示使用`sudo apt-get install`或`pip install`指定版本进行安装。 在完成以上所有步骤后，Joern应该能够成功安装并运行。记得在每个环节检查环境变量设置和配置文件是否正确，以确保Joern能正常工作。在使用Joern进行代码漏洞检查时，它会利用CPG对代码结构进行建模，并通过遍历这些图形来识别潜在的安全问题。这种工具对于保障代码质量和安全至关重要，特别是在大型项目中。