bearer

---

Escanee su código fuente contra los principales riesgos de seguridad y privacidad .

Bearer es una herramienta de prueba de seguridad de aplicaciones estáticas (SAST) diseñada para escanear su código fuente y analizar los flujos de datos para identificar, filtrar y priorizar los riesgos de seguridad y privacidad.

Bearer ofrece una solución gratuita y abierta, CLI de portador y una solución comercial, Bearer Pro, disponible a través de Cycode.

Comenzar - Preguntas frecuentes - Documentación - Informe un error - Discord Community

Bearer CLI : GO • Java • JavaScript • TypeScript • Php • Python • Ruby
Bearer Pro por Cycode : C# • Kotlin • Elixir + todo en Bearer OSS

Obtenga más información sobre Support del idioma

Bearer CLI escanea su código fuente para:

• Riesgos de seguridad y vulnerabilidades utilizando reglas integradas que cubren el top 10 de OWASP y CWE Top 25, tales como:

  • A01: Control de acceso (por ejemplo, traversal de ruta, redirección abierta, exposición de información confidencial).
  • A02: Fallas criptográficas (por ejemplo, algoritmo débil, comunicación insegura).
  • A03: inyección (por ejemplo, inyección de SQL, validación de entrada, XSS, XPATH).
  • A04: Diseño (por ejemplo, falta en cifrado de datos confidenciales, cookies persistentes que contienen información confidencial).
  • A05: Configuración errónea de seguridad (por ejemplo, ClearText Almacenamiento de información confidencial en una cookie o JWT).
  • A07: Fallas de identificación y autenticación (por ejemplo, uso de contraseña codificada, validación inadecuada de certificados).
  • A08: Fallas de integridad de datos (por ejemplo, deserialización de datos no confiables).
  • A09: fallas de registro y monitoreo de seguridad (por ejemplo, inserción de información confidencial en el archivo de registro).
  • A10: Fase de solicitud del lado del servidor (SSRF).

  Nota: Se pueden acceder a todas las reglas y sus patrones de código a través de la documentación.

• Los riesgos de privacidad con la capacidad de detectar el flujo de datos confidenciales, como el uso de PII, PHI en su aplicación y componentes que procesan datos confidenciales (bases de datos por ejemplo, bases de datos como PGSQL, API de terceros, como OpenAi, Sentry, etc.). Esto ayuda a generar un informe de privacidad relevante para:

  • Evaluación de impacto de la privacidad (PIA).
  • Evaluación de impacto de protección de datos (DPIA).
  • Registros de actividades de procesamiento (ROPA) Entrada para informes de cumplimiento de GDPR.

Descubra sus riesgos y vulnerabilidades de seguridad más críticos en solo unos minutos. En esta guía, instalará Bearer CLI, ejecutará un escaneo de seguridad en un proyecto local y verá los resultados. ¡Comencemos!

La forma más rápida de instalar Bearer CLI es con el script de instalación. Se seleccionará automáticamente la mejor construcción para su arquitectura. Instalación de valores predeterminados a ./bin y a la última versión de lanzamiento :

curl -sfL https://raw.githubusercontent.com/Bearer/bearer/main/contrib/install.sh | sh

brew install bearer/tap/bearer

brew update && brew upgrade bearer/tap/bearer

sudo apt-get install apt-transport-https
echo " deb [trusted=yes] https://apt.fury.io/bearer/ / " | sudo tee -a /etc/apt/sources.list.d/fury.list
sudo apt-get update
sudo apt-get install bearer

sudo apt-get update
sudo apt-get install bearer

$ sudo vim /etc/yum.repos.d/fury.repo
[fury]
name=Gemfury Private Repo
baseurl=https://yum.fury.io/bearer/
enabled=1
gpgcheck=0

  sudo yum -y update
  sudo yum -y install bearer

sudo yum -y update bearer

docker run --rm -v /path/to/repo:/tmp/scan bearer/bearer:latest-amd64 scan /tmp/scan

 version : " 3 "
services :
  bearer :
    platform : linux/amd64
    image : bearer/bearer:latest-amd64
    volumes :
      - /path/to/repo:/tmp/scan

docker compose run bearer scan /tmp/scan --debug

La forma más fácil de probar Bearer CLI es con el proyecto de ejemplo de Owasp Juice Shop. Simula una aplicación realista de JavaScript con fallas de seguridad comunes. Clon o descargarlo a una ubicación conveniente para comenzar.

git clone https://github.com/juice-shop/juice-shop.git

Ahora, ejecute el comando de escaneo con bearer scan en el directorio del proyecto:

bearer scan juice-shop

Una barra de progreso mostrará el estado del escaneo.

Una vez que se completa el escaneo, Bearer CLI emitirá, por defecto, un informe de seguridad con detalles de cualquier hallazgo de reglas, así como en qué parte de la base de código ocurrieron las infracciones y por qué.

Por defecto, el comando scan usa el escáner SAST, otros tipos de escáner están disponibles.

El informe de seguridad es una visión fácilmente digerible de los problemas de seguridad detectados por Bearer CLI. Un informe está formado por:

• La lista de reglas se ejecuta contra su código.
• Cada uno detectó el hallazgo, que contiene la ubicación del archivo y las líneas que desencadenaron el hallazgo de la regla.
• Una sección de estadísticas con un resumen de las verificaciones de reglas, hallazgos y advertencias.

La aplicación de ejemplo de OWASP Juice Shop activará los resultados de las reglas y generará un informe completo. Aquí hay una sección de la salida:

 ...
HIGH: Sensitive data stored in HTML local storage detected. [CWE-312]
https://docs.bearer.com/reference/rules/javascript_lang_session
To skip this rule, use the flag --skip-rule=javascript_lang_session

File: juice-shop/frontend/src/app/login/login.component.ts:102

 102       localStorage.setItem('email', this.user.email)


=====================================

59 checks, 40 findings

CRITICAL: 0
HIGH: 16 (CWE-22, CWE-312, CWE-798, CWE-89)
MEDIUM: 24 (CWE-327, CWE-548, CWE-79)
LOW: 0
WARNING: 0

Además del informe de seguridad, también puede ejecutar un informe de privacidad.

¿Listo para el siguiente paso? Se pueden encontrar opciones adicionales para usar y configurar el comando scan para configurar el comando de escaneo.

Para obtener más guías y consejos de uso, vea los documentos.

Las herramientas SAST son conocidas por enterrar a los equipos y desarrolladores de seguridad bajo cientos de problemas con poco contexto y sin sentido de prioridad, a menudo requieren que los analistas de seguridad sean los problemas manualmente.

El activo más vulnerable hoy en día son los datos confidenciales, por lo que comenzamos allí y priorizamos los hallazgos evaluando los flujos de datos confidenciales para resaltar lo que es más crítico y lo que no. Esta habilidad única nos permite proporcionarle un escáner de privacidad también.

Creemos que al vincular problemas de seguridad con un claro impacto comercial y el riesgo de una violación de datos o una fuga de datos, podemos construir un software mejor y más robusto, sin costo adicional.

Además, al ser gratuito y abierto, extensible por diseño, y construido con un gran desarrollador UX en mente, apostamos a ver la diferencia para usted.

Además de detectar fallas de seguridad en su código, Bearer CLI le permite automatizar el proceso de recopilación de evidencia necesario para generar un informe de privacidad para su equipo de cumplimiento.

Cuando ejecuta Bearer CLI en su base de código, descubre y clasifica los datos identificando patrones en el código fuente. Específicamente, busca tipos de datos y coincidencias contra ellos. Lo más importante es que nunca ve los valores reales, simplemente no puede, pero solo el código en sí. Si desea obtener más información, aquí está la explicación más larga.

Bearer CLI puede identificar más de más de 120 tipos de datos de categorías de datos confidenciales, como datos personales (EP), EP confidencial, información de identificación personal (PII) e información de salud personal (PHI). Puede ver la lista completa en la documentación de tipos de datos compatibles.

Finalmente, Bearer CLI también le permite detectar componentes almacenamiento y procesamiento de datos confidenciales, como bases de datos, API internas y API de terceros. Consulte la lista de recetas para obtener una lista completa de componentes.

Bearer CLI actualmente es compatible:

Obtenga más información sobre el soporte del idioma.

Depende del tamaño de sus aplicaciones. Puede tomar tan solo 20 segundos, hasta unos minutos para una base de código extremadamente grande.

Como regla general, Bearer CLI nunca debe tomar más tiempo que ejecutar su suite de prueba.

En el caso de la integración de CI, proporcionamos una solución de exploración por diferencias para hacerlo aún más rápido. Aprende más.

Si está familiarizado con las herramientas SAST, los falsos positivos siempre son una posibilidad.

Al utilizar las técnicas de análisis de código estático más modernos y proporcionar una solución de filtrado y priorización nativos sobre los temas más importantes, creemos que hemos mejorado dramáticamente la experiencia general SAST.

Nos esforzamos por proporcionar la mejor experiencia posible para nuestros usuarios. Aprenda más sobre cómo logramos esto.

Recomendamos ejecutar Bearer CLI en su CI para verificar los nuevos RP automáticamente para obtener problemas de seguridad, por lo que su equipo de desarrollo tiene un ciclo de retroalimentación directa para solucionar problemas de inmediato.

También puede integrar la CLI de Bearer en su CD, aunque recomendamos establecerlo para fallar solo en problemas de alta criticidad, ya que el impacto para su organización podría ser importante.

Además, ejecutar Bearer CLI como un trabajo programado es una excelente manera de realizar un seguimiento de su postura de seguridad y asegurarse de que se encuentren nuevos problemas de seguridad incluso en proyectos con baja actividad.

Asegúrese de leer nuestra Guía de estrategia de integración para obtener más información.

Gracias por usar Bearer CLI. ¿Todavía tienes preguntas?

• Comience con la documentación.
• ¿Tiene alguna pregunta o necesita ayuda? Encuentra al equipo de portador en Discord.
• ¿Tienes una solicitud de función o encontró un error? Abra un nuevo problema.
• ¿Encontró un problema de seguridad? Consulte nuestra política de seguridad para obtener detalles de informes.
• Obtenga más información en Bearer.com

¿Interesado en contribuir? ¡Estamos aquí para ello! Para obtener detalles sobre cómo contribuir, configurar su entorno de desarrollo y nuestros procesos, revise la guía de contribución.

Se espera que todos los que interactúen con este proyecto sigan las pautas de nuestro Código de Conducta.

Para informar una vulnerabilidad o sospecha de vulnerabilidad, consulte nuestra política de seguridad. Para cualquier pregunta, inquietud u otros asuntos de seguridad, no dude en abrir un problema o unirse a la comunidad de Discord.

El código Bearer CLI tiene licencia bajo los términos de la Licencia Elástica 2.0 (ELV2), lo que significa que puede usarlo libremente dentro de su organización para proteger sus aplicaciones sin ningún requisito comercial.

No se le permite proporcionar a Bearer CLI a terceros como un servicio alojado o administrado sin la aprobación explícita de Bearer Inc.