bearer
v1.47.0
Erste Schritte - FAQ - Dokumentation - Melden Sie einen Fehler - Discord Community
Träger Cli : GO • Java • JavaScript • TypeScript • PHP • Python • Ruby
Bearer Pro von Cycode : C# • KOTLIN • ELIXIR + Everything in Bearer OSS
Erfahren Sie mehr über Sprach Suppport
Die Bearer CLI scannt Ihren Quellcode für:
Sicherheitsrisiken und Schwachstellen mit integrierten Regeln, die die OWASP Top 10 und CWE Top 25 abdecken, wie z. B.:
Hinweis: Alle Regeln und ihre Codemuster sind über die Dokumentation zugänglich.
Datenschutzrisiken mit der Fähigkeit, einen sensiblen Datenfluss wie die Verwendung von PII, PHI in Ihrer App und Komponenten zu erkennen, verarbeiten sensible Daten (z. B. Datenbanken wie PGSQL, APIs von Drittanbietern wie OpenAI, Sentry usw.). Dies hilft, einen Datenschutzbericht zu generieren, der relevant für:
Entdecken Sie in wenigen Minuten Ihre kritischsten Sicherheitsrisiken und Schwachstellen. In diesem Handbuch installieren Sie die Träger -CLI, führen einen Sicherheits -Scan für ein lokales Projekt aus und sehen die Ergebnisse an. Fangen wir an!
Der schnellste Weg, um die Träger -CLI zu installieren, ist das Installationsskript. Es wird automatisch den besten Build für Ihre Architektur ausgewählt. Standardinstallation zu ./bin und zur neuesten Versionsversion :
curl -sfL https://raw.githubusercontent.com/Bearer/bearer/main/contrib/install.sh | shVerwenden Sie den offiziellen Homebrew -Tap von Träger CLI:
brew install bearer/tap/bearerAktualisieren Sie eine vorhandene Installation mit folgenden:
brew update && brew upgrade bearer/tap/bearersudo apt-get install apt-transport-https
echo " deb [trusted=yes] https://apt.fury.io/bearer/ / " | sudo tee -a /etc/apt/sources.list.d/fury.list
sudo apt-get update
sudo apt-get install bearerAktualisieren Sie eine vorhandene Installation mit folgenden:
sudo apt-get update
sudo apt-get install bearerRepository -Einstellung hinzufügen:
$ sudo vim /etc/yum.repos.d/fury.repo
[fury]
name=Gemfury Private Repo
baseurl=https://yum.fury.io/bearer/
enabled=1
gpgcheck=0Dann mit yum installieren:
sudo yum -y update
sudo yum -y install bearerAktualisieren Sie eine vorhandene Installation mit folgenden:
sudo yum -y update bearerDie Träger -CLI ist auch als Docker -Bild auf Docker Hub und Ghcr.io erhältlich.
Wenn Docker installiert ist, können Sie den folgenden Befehl mit den entsprechenden Pfaden anstelle der Beispiele ausführen.
docker run --rm -v /path/to/repo:/tmp/scan bearer/bearer:latest-amd64 scan /tmp/scan Zusätzlich können Sie Docker Compose verwenden. Fügen Sie Folgendes Ihrer Datei docker-compose.yml hinzu und ersetzen Sie die Volumina durch die entsprechenden Pfade für Ihr Projekt:
version : " 3 "
services :
bearer :
platform : linux/amd64
image : bearer/bearer:latest-amd64
volumes :
- /path/to/repo:/tmp/scan Führen Sie dann den Befehl docker compose run aus, um die Träger -CLI mit allen angegebenen Flags auszuführen:
docker compose run bearer scan /tmp/scan --debugDie obigen Docker -Konfigurationen werden immer die neueste Version verwendet.
Laden Sie die Archivdatei für Ihr Betriebssystem/Ihre Architektur von hier herunter.
Packen Sie das Archiv aus und stellen Sie die Binärdatei irgendwo in Ihren $ path (auf UNIX-y-Systemen,/usr/lokal/bin oder dergleichen). Stellen Sie sicher, dass es die Erlaubnis zum Ausführen hat.
Um die Bearer CLI bei der Verwendung des Binary zu aktualisieren, laden Sie die neueste Version herunter und überschreiben Sie Ihren vorhandenen Installationsort.
Der einfachste Weg, die Träger -CLI auszuprobieren, ist das Beispielprojekt Owasp Juice Shop. Es simuliert eine realistische JavaScript -Anwendung mit gemeinsamen Sicherheitsfehler. Klonen oder laden Sie es an einen bequemen Ort herunter, um loszulegen.
git clone https://github.com/juice-shop/juice-shop.git Führen Sie nun den Scan -Befehl mit bearer scan im Projektverzeichnis aus:
bearer scan juice-shopEine Fortschrittsleiste zeigt den Status des Scans an.
Sobald der Scan abgeschlossen ist, gibt die Träger -CLI standardmäßig einen Sicherheitsbericht mit Einzelheiten zu den Feststellungen der Regel sowie in der Codebasis aus, die die Verstöße stattgefunden haben und warum.
Standardmäßig verwendet der scan -Befehl den SAST -Scanner, andere Scannertypen sind verfügbar.
Der Sicherheitsbericht ist eine leicht verdauliche Sicht auf die von der Träger -CLI festgestellten Sicherheitsprobleme. Ein Bericht besteht aus:
Die OWASP Juice Shop -Beispielanwendung löst die Feststellungen aus und gibt einen vollständigen Bericht aus. Hier ist ein Abschnitt der Ausgabe:
...
HIGH: Sensitive data stored in HTML local storage detected. [CWE-312]
https://docs.bearer.com/reference/rules/javascript_lang_session
To skip this rule, use the flag --skip-rule=javascript_lang_session
File: juice-shop/frontend/src/app/login/login.component.ts:102
102 localStorage.setItem('email', this.user.email)
=====================================
59 checks, 40 findings
CRITICAL: 0
HIGH: 16 (CWE-22, CWE-312, CWE-798, CWE-89)
MEDIUM: 24 (CWE-327, CWE-548, CWE-79)
LOW: 0
WARNING: 0
Zusätzlich des Sicherheitsberichts können Sie auch einen Datenschutzbericht ausführen.
Bereit für den nächsten Schritt? Zusätzliche Optionen für die Verwendung und Konfiguration des scan -Befehls finden Sie beim Konfigurieren des Befehls scan.
Weitere Leitfäden und Nutzungstipps finden Sie in den Dokumenten.
Es ist bekannt, dass SAST -Tools Sicherheitsteams und Entwickler unter Hunderten von Problemen mit wenig Kontext und ohne Vorrangsgefühl begraben und häufig Sicherheitsanalysten dazu verpflichten, Probleme manuell zu trisieren.
Das heutige Vorteil sind heute sensible Daten. Daher beginnen wir dort und priorisieren die Ergebnisse, indem wir sensible Datenflüsse bewerten, um hervorzuheben, was kritischer ist und was nicht. Diese einzigartige Fähigkeit ermöglicht es uns, Ihnen auch einen Datenschutz -Scanner zu bieten.
Wir sind der Ansicht, dass wir durch die Verknüpfung von Sicherheitsproblemen mit einer klaren Auswirkungen und dem Risiko eines Datenverstoßes oder eines Datenlecks eine bessere und robustere Software ohne zusätzliche Kosten erstellen können.
Wenn Sie frei und offen sind, durch Design und im Sinn für einen großartigen Entwickler aufgebaut sind, werden Sie den Unterschied für sich selbst sehen.
Mit Bearer CLI können Sie nicht nur Sicherheitsmängel in Ihrem Code erfassen, sondern auch den Beweis für die Erstellung eines Datenschutzberichts für Ihr Compliance -Team automatisieren.
Wenn Sie die Träger -CLI auf Ihrer Codebasis ausführen, entdecken und klassifizieren Sie Daten, indem Sie Muster im Quellcode identifizieren. Insbesondere sucht es nach Datentypen und Übereinstimmungen gegen sie. Am wichtigsten ist, dass es nie die tatsächlichen Werte betrachtet - es kann einfach nicht -, aber nur den Code selbst. Wenn Sie mehr erfahren möchten, finden Sie hier die längere Erklärung.
Die Träger -CLI kann über 120 mehr Datentypen aus sensiblen Datenkategorien wie personenbezogenen Daten (PD), sensiblen PD, persönlich identifizierbaren Informationen (PII) und persönlichen Gesundheitsinformationen (PHI) identifizieren. Sie können die vollständige Liste in der Dokumentation der unterstützten Datentypen anzeigen.
Mit Bearer CLI können Sie auch Komponenten erkennen, die sensible Daten wie Datenbanken, interne APIs und APIs von Drittanbietern speichern und verarbeiten. Eine vollständige Liste der Komponenten finden Sie in der Rezeptliste.
Träger -CLI unterstützt derzeit:
| Ga | JavaScript/TypeScript, Ruby, Php, Java, Go, Python |
| Beta | - - |
| Alpha | - - |
Erfahren Sie mehr über Sprachunterstützung.
Dies hängt von der Größe Ihrer Anwendungen ab. Es kann nur 20 Sekunden dauern, bis zu ein paar Minuten für eine extrem große Codebasis.
Als Faustregel sollte die Träger -CLI niemals mehr Zeit in Anspruch nehmen, als Ihre Testsuite auszuführen.
Bei der CI -Integration bieten wir eine Diff -Scan -Lösung, um sie noch schneller zu machen. Erfahren Sie mehr.
Wenn Sie mit Sast -Tools vertraut sind, sind falsch positive Ergebnisse immer eine Möglichkeit.
Durch die Verwendung der modernsten Techniken zur statischen Codeanalyse und zur Bereitstellung einer nativen Filter- und Priorisierung der Lösung für die wichtigsten Themen sind wir der Ansicht, dass wir das Gesamt -SAST -Erlebnis dramatisch verbessert haben.
Wir bemühen uns, unseren Benutzern die bestmögliche Erfahrung zu bieten. Erfahren Sie mehr darüber, wie wir das erreichen.
Wir empfehlen, die Träger -CLI in Ihrem CI auszuführen, um neue PRs automatisch auf Sicherheitsprobleme zu überprüfen. Ihr Entwicklungsteam verfügt daher über eine direkte Rückkopplungsschleife, um Probleme sofort zu beheben.
Sie können auch die Träger -CLI in Ihre CD integrieren. Wir empfehlen jedoch, dass sie nur bei Problemen mit hoher Kritikalität versagen, da die Auswirkungen auf Ihr Unternehmen wichtig sein könnten.
Darüber hinaus ist es eine großartige Möglichkeit, Ihre Sicherheitshaltung zu verfolgen und sicherzustellen, dass neue Sicherheitsprobleme selbst bei Projekten mit geringer Aktivität zu finden sind, um die Bearer -CLI als geplante Aufgabe zu verfolgen.
Lesen Sie unseren Integrationsstrategiehandbuch für weitere Informationen.
Danke, dass du den Träger -CLI verwendet hast. Haben Sie noch Fragen?
Interessiert an einem Beitrag? Wir sind dafür da! Weitere Informationen zum Beitrag zur Einrichtung Ihrer Entwicklungsumgebung und unserer Prozesse finden Sie im Beitragsführer.
Es wird erwartet, dass jeder, der mit diesem Projekt interagiert, den Richtlinien unseres Verhaltenskodex folgt.
Um eine Sicherheitsanfälligkeit oder eine vermutete Sicherheitsanfälligkeit zu melden, finden Sie in unserer Sicherheitsrichtlinie. Für Fragen, Bedenken oder andere Sicherheitsangelegenheiten können Sie ein Problem öffnen oder sich der Discord -Community anschließen.
Der CLI -Code des Trägers ist gemäß den Bestimmungen der Elastic -Lizenz 2.0 (ELV2) lizenziert. Dies bedeutet, dass Sie ihn in Ihrem Unternehmen frei verwenden können, um Ihre Anwendungen ohne kommerzielle Anforderungen zu schützen.
Sie dürfen den Träger -CLI nicht als gehosteten oder verwalteten Dienst als ausdrückliche Genehmigung von Bearer Inc. zur Verfügung stellen.
