bearer
v1.47.0
البدء - الأسئلة الشائعة - الوثائق - الإبلاغ عن خطأ - مجتمع الخلاف
Bearer CLI : GO • Java • JavaScript • TypeScript • PHP • Python • Ruby
Bearer Pro by Cycode : C# • Kotlin • Elixir + Everything in Bearer OSS
تعرف على المزيد عن اللغة
يقوم حامل CLI بمسح رمز المصدر الخاص بك لـ:
مخاطر الأمن ونقاط الضعف باستخدام قواعد مدمجة تغطي OWASP Top 10 و CWE Top 25 ، مثل:
ملاحظة: يمكن الوصول إلى جميع القواعد وأنماط التعليمات البرمجية من خلال الوثائق.
تخاطر الخصوصية مع القدرة على اكتشاف تدفق البيانات الحساسة مثل استخدام PII و PHI في التطبيق الخاص بك والمكونات معالجة البيانات الحساسة (مثل قواعد البيانات مثل PGSQL ، واجهات برمجة التطبيقات الطرف الثالث مثل Openai ، Sentry ، وما إلى ذلك). هذا يساعد على توليد تقرير خصوصية ذي صلة بـ:
اكتشف أكثر مخاطر الأمن ونقاط الضعف في غضون بضع دقائق فقط. في هذا الدليل ، ستقوم بتثبيت Bearer CLI ، وتشغيل فحص أمان على مشروع محلي ، وعرض النتائج. لنبدأ!
أسرع طريقة لتثبيت Bearer CLI هي مع البرنامج النصي للتثبيت. وسوف تختار تلقائيًا أفضل بناء للهندسة المعمارية الخاصة بك. التثبيت الافتراضي على ./bin وإلى أحدث إصدار من الإصدار :
curl -sfL https://raw.githubusercontent.com/Bearer/bearer/main/contrib/install.sh | shباستخدام الصنبور الوطني الرسمي لـ Bearer Cli:
brew install bearer/tap/bearerتحديث تثبيت موجود بما يلي:
brew update && brew upgrade bearer/tap/bearersudo apt-get install apt-transport-https
echo " deb [trusted=yes] https://apt.fury.io/bearer/ / " | sudo tee -a /etc/apt/sources.list.d/fury.list
sudo apt-get update
sudo apt-get install bearerتحديث تثبيت موجود بما يلي:
sudo apt-get update
sudo apt-get install bearerإضافة إعداد مستودع:
$ sudo vim /etc/yum.repos.d/fury.repo
[fury]
name=Gemfury Private Repo
baseurl=https://yum.fury.io/bearer/
enabled=1
gpgcheck=0ثم التثبيت مع Yum:
sudo yum -y update
sudo yum -y install bearerتحديث تثبيت موجود بما يلي:
sudo yum -y update bearerيتوفر Bearer CLI أيضًا كصورة Docker على Docker Hub و Ghcr.io.
مع تثبيت Docker ، يمكنك تشغيل الأمر التالي مع المسارات المناسبة بدلاً من الأمثلة.
docker run --rm -v /path/to/repo:/tmp/scan bearer/bearer:latest-amd64 scan /tmp/scan بالإضافة إلى ذلك ، يمكنك استخدام Docker Compose. أضف ما يلي إلى ملف docker-compose.yml واستبدل المجلدات بالمسارات المناسبة لمشروعك:
version : " 3 "
services :
bearer :
platform : linux/amd64
image : bearer/bearer:latest-amd64
volumes :
- /path/to/repo:/tmp/scan بعد ذلك ، قم بتشغيل أمر docker compose run لتشغيل Bearer CLI مع أي أعلام محددة:
docker compose run bearer scan /tmp/scan --debugستستخدم تكوينات Docker أعلاه دائمًا أحدث إصدار.
قم بتنزيل ملف الأرشيف لنظام التشغيل/الهندسة المعمارية من هنا.
قم بفك الأرشيف ، ووضع الثنائي في مكان ما في مسار $ الخاص بك (على أنظمة Unix-Y ،/usr/local/bin أو ما شابه). تأكد من أن لديها إذن للتنفيذ.
لتحديث Bearer CLI عند استخدام الثنائي ، قم بتنزيل أحدث الإصدار والكتابة فوق موقع التثبيت الحالي.
أسهل طريقة لتجربة Bearer Cli هي مع مشروع مثال Owasp Juice Shop. يحاكي تطبيق JavaScript واقعي مع عيوب أمان مشتركة. استنساخ أو تنزيله على موقع مناسب للبدء.
git clone https://github.com/juice-shop/juice-shop.git الآن ، قم بتشغيل أمر المسح الضوئي مع bearer scan على دليل المشروع:
bearer scan juice-shopسيعرض شريط التقدم حالة الفحص.
بمجرد اكتمال الفحص ، سيقوم Bearer CLI بإخراج تقرير أمان بشكل افتراضي مع تفاصيل أي نتائج قاعدة ، وكذلك في مكان حدث المخالفات في قاعدة الشفرة ولماذا.
بشكل افتراضي ، استخدم أمر المسح scan SAST ، حيث تتوفر أنواع الماسح الضوئي الأخرى.
التقرير الأمني هو رؤية سهلة الهضم لمشكلات الأمان التي اكتشفها Bearer CLI. يتكون تقرير من:
سيؤدي تطبيق OWASP Juice Shop إلى نتائج القواعد وإخراج تقرير كامل. إليك قسم من الإخراج:
...
HIGH: Sensitive data stored in HTML local storage detected. [CWE-312]
https://docs.bearer.com/reference/rules/javascript_lang_session
To skip this rule, use the flag --skip-rule=javascript_lang_session
File: juice-shop/frontend/src/app/login/login.component.ts:102
102 localStorage.setItem('email', this.user.email)
=====================================
59 checks, 40 findings
CRITICAL: 0
HIGH: 16 (CWE-22, CWE-312, CWE-798, CWE-89)
MEDIUM: 24 (CWE-327, CWE-548, CWE-79)
LOW: 0
WARNING: 0
بالإضافة إلى تقرير الأمان ، يمكنك أيضًا تشغيل تقرير خصوصية.
جاهز للخطوة التالية؟ يمكن العثور على خيارات إضافية لاستخدام وتكوين أمر scan في تكوين أمر المسح.
لمزيد من الأدلة ونصائح الاستخدام ، عرض المستندات.
من المعروف أن أدوات SAST لدفن فرق الأمن والمطورين تحت مئات القضايا مع القليل من السياق ولا شعور بالأولوية ، وغالبًا ما تتطلب من محللي الأمن مشكلات الفرز يدويًا.
الأصول الأكثر ضعفا اليوم هي البيانات الحساسة ، لذلك نبدأ هناك وتحديد أولويات النتائج من خلال تقييم تدفقات البيانات الحساسة لتسليط الضوء على ما هو أكثر أهمية ، وما هو غير ذلك. تتيح لنا هذه القدرة الفريدة تزويدك بماسح ضوئي خصوصية أيضًا.
نعتقد أنه من خلال ربط مشكلات الأمان بتأثير أعمال واضح وخطر خرق البيانات ، أو تسرب البيانات ، يمكننا بناء برامج أفضل وأكثر قوة ، دون أي تكلفة إضافية.
بالإضافة إلى ذلك ، من خلال الحرية والمنفتحة ، قابلة للتمديد حسب التصميم ، وبناء مع مطور رائع في الاعتبار ، نراهن أنك سترى الفرق لنفسك.
بالإضافة إلى اكتشاف عيوب الأمان في الكود الخاص بك ، يتيح لك Bearer CLI أتمتة عملية جمع الأدلة اللازمة لإنشاء تقرير خصوصية لفريق الامتثال الخاص بك.
عندما تقوم بتشغيل Bearer CLI على قاعدة كودك ، فإنه يكتشف وتصنيف البيانات عن طريق تحديد الأنماط في الكود المصدري. على وجه التحديد ، فإنه يبحث عن أنواع البيانات والمطابقات ضدها. الأهم من ذلك ، أنه لا ينظر أبدًا إلى القيم الفعلية - لا يمكن - فقط - ولكن فقط الكود نفسه. إذا كنت تريد معرفة المزيد ، فإليك التفسير الأطول.
Bearer CLI قادر على تحديد أكثر من 120 نوع بيانات من فئات البيانات الحساسة مثل البيانات الشخصية (PD) ، PD الحساسة ، المعلومات التعريف الشخصية (PII) ، ومعلومات الصحة الشخصية (PHI). يمكنك عرض القائمة الكاملة في وثائق أنواع البيانات المدعومة.
أخيرًا ، يتيح لك Bearer CLI أيضًا اكتشاف المكونات التي تخزن ومعالجة البيانات الحساسة مثل قواعد البيانات ، واجهات برمجة التطبيقات الداخلية ، وواجهة برمجة التطبيقات الطرف الثالث. راجع قائمة الوصفات للحصول على قائمة كاملة بالمكونات.
يدعم Bearer CLI حاليًا:
| جا | JavaScript/TypeScript ، Ruby ، PHP ، Java ، Go ، Python |
| بيتا | - |
| ألفا | - |
تعرف على المزيد حول دعم اللغة.
يعتمد ذلك على حجم تطبيقاتك. قد يستغرق الأمر ما لا يقل عن 20 ثانية ، حتى بضع دقائق لقاعدة رمز كبيرة للغاية.
كقاعدة عامة ، يجب ألا يستغرق Bearer Cli وقتًا أطول من تشغيل مجموعة الاختبار الخاصة بك.
في حالة تكامل CI ، نقدم حل فحص Diff لجعله بشكل أسرع. يتعلم أكثر.
إذا كنت على دراية بأدوات SAST ، فإن الإيجابيات الخاطئة هي دائمًا احتمال.
باستخدام أحدث تقنيات تحليل التعليمات البرمجية الثابتة وتوفير حل تصفية محلي وإعطاء الأولوية حول أهم القضايا ، نعتقد أننا قمنا بتحسين تجربة SAST بشكل كبير.
نحن نسعى جاهدين لتوفير أفضل تجربة ممكنة لمستخدمينا. تعرف على المزيد حول كيفية تحقيق هذا.
نوصي بتشغيل Bearer CLI في CI الخاص بك للتحقق من PRS الجديدة تلقائيًا لمشكلات الأمان ، لذلك لدى فريق التطوير حلقة تعليقات مباشرة لإصلاح المشكلات على الفور.
يمكنك أيضًا دمج Bearer CLI في القرص المضغوط الخاص بك ، على الرغم من أننا نوصي بإعداده للفشل فقط في مشكلات الأهمية المرتفعة ، لأن تأثير مؤسستك قد يكون مهمًا.
بالإضافة إلى ذلك ، يعد تشغيل Bearer CLI كوظيفة مجدولة وسيلة رائعة لتتبع وضعك الأمني والتأكد من العثور على مشكلات أمان جديدة حتى في المشاريع ذات النشاط المنخفض.
تأكد من قراءة دليل استراتيجية التكامل لمزيد من المعلومات.
شكرا لاستخدام حامل CLI. لا يزال لديك أسئلة؟
مهتم بالمساهمة؟ نحن هنا من أجل ذلك! للحصول على تفاصيل حول كيفية المساهمة ، وإعداد بيئة التطوير الخاصة بك ، وعملياتنا ، مراجعة دليل المساهمة.
من المتوقع أن يتبع كل شخص يتفاعل مع هذا المشروع إرشادات قواعد سلوكنا.
للإبلاغ عن الضعف أو الضعف المشتبه به ، راجع سياستنا الأمنية. لأي أسئلة أو مخاوف أو مسائل أمان أخرى ، لا تتردد في فتح مشكلة أو الانضمام إلى مجتمع Discord.
يتم ترخيص رمز Bearer CLI بموجب شروط الترخيص المرن 2.0 (ELV2) ، مما يعني أنه يمكنك استخدامه بحرية داخل مؤسستك لحماية طلباتك دون أي متطلبات تجارية.
لا يُسمح لك بتزويد حامل CLI بأطراف ثالثة كخدمة مستضافة أو مُدارة دون موافقة واضحة من شركة Bearer Inc.
