bearer

---

Scannez votre code source par rapport aux risques de sécurité et de confidentialité supérieurs.

Bearier est un outil statique des tests de sécurité des applications (SAST) conçus pour scanner votre code source et analyser les flux de données pour identifier, filtrer et hiérarchiser les risques de sécurité et de confidentialité.

Bearier propose une solution gratuite et ouverte, une CLI porte-clés et une solution commerciale, Bearier Pro, disponible via Cycode.

Démarrer - FAQ - Documentation - Signaler un bogue - Communauté Discord

CLI du porteur : Go • Java • JavaScript • TypeScript • PHP • Python • Ruby
Bearier Pro par Cycode : C # • Kotlin • Elixir + Tout dans le porte-parole OSS

En savoir plus sur le support linguistique

CLI porteur scanne votre code source pour:

• Risques et vulnérabilités de sécurité à l'aide de règles intégrées couvrant le Top 10 OWASP et le Top 25 du CWE, tels que:

  • A01: Contrôle d'accès (par exemple, traversée de chemin, redirection ouverte, exposition des informations sensibles).
  • A02: échecs cryptographiques (par exemple, algorithme faible, communication en insécurité).
  • A03: Injection (par exemple, injection SQL, validation d'entrée, XSS, XPATH).
  • A04: Conception (par exemple, cryptage manquant de données sensibles, cookies persistants contenant des informations sensibles).
  • A05: Merfection de sécurité (par exemple, stockage en texte clair d'informations sensibles dans un cookie ou JWT).
  • A07: Échecs d'identification et d'authentification (par exemple, utilisation du mot de passe codé dur, validation du certificat incorrect).
  • A08: défaillances d'intégrité des données (par exemple désérialisation des données non fiables).
  • A09: défaillance de la journalisation et de la surveillance de la sécurité (par exemple, l'insertion d'informations sensibles dans le fichier journal).
  • A10: Fonctionnement de la demande côté serveur (SSRF).

  Remarque: Toutes les règles et leurs modèles de code sont accessibles via la documentation.

• Les risques de confidentialité avec la capacité de détecter le flux de données sensibles tels que l'utilisation de PII, de PHI dans votre application et de données de données sensibles au traitement des composants (par exemple, des bases de données comme PGSQL, des API tierces telles que OpenAI, Sentry, etc.). Cela aide à générer un rapport de confidentialité pertinent pour:

  • Évaluation de l'impact sur la vie privée (PIA).
  • Évaluation de l'impact sur la protection des données (DPIA).
  • Dossiers des activités de traitement (ROPA) pour les rapports de conformité du RGPD.

Découvrez vos risques et vulnérabilités de sécurité les plus critiques en seulement quelques minutes. Dans ce guide, vous allez installer CLI CLI, exécuter une analyse de sécurité sur un projet local et afficher les résultats. Commençons!

Le moyen le plus rapide d'installer CLI CLI est avec le script d'installation. Il sélectionnera automatiquement la meilleure construction pour votre architecture. Installation par défaut à ./bin et à la dernière version de version :

curl -sfL https://raw.githubusercontent.com/Bearer/bearer/main/contrib/install.sh | sh

brew install bearer/tap/bearer

brew update && brew upgrade bearer/tap/bearer

sudo apt-get install apt-transport-https
echo " deb [trusted=yes] https://apt.fury.io/bearer/ / " | sudo tee -a /etc/apt/sources.list.d/fury.list
sudo apt-get update
sudo apt-get install bearer

sudo apt-get update
sudo apt-get install bearer

$ sudo vim /etc/yum.repos.d/fury.repo
[fury]
name=Gemfury Private Repo
baseurl=https://yum.fury.io/bearer/
enabled=1
gpgcheck=0

  sudo yum -y update
  sudo yum -y install bearer

sudo yum -y update bearer

docker run --rm -v /path/to/repo:/tmp/scan bearer/bearer:latest-amd64 scan /tmp/scan

 version : " 3 "
services :
  bearer :
    platform : linux/amd64
    image : bearer/bearer:latest-amd64
    volumes :
      - /path/to/repo:/tmp/scan

docker compose run bearer scan /tmp/scan --debug

La façon la plus simple d'essayer la CLI du porteur est avec l'exemple de la boutique de jus d'Owasp. Il simule une application JavaScript réaliste avec des défauts de sécurité communs. Clone ou téléchargez-le dans un emplacement pratique pour commencer.

git clone https://github.com/juice-shop/juice-shop.git

Maintenant, exécutez la commande SCAN avec bearer scan SUR SUR LE RÉPARTOIRE DE PROJET:

bearer scan juice-shop

Une barre de progression affichera l'état du scan.

Une fois la numérisation terminée, Bearier CLI sortira, par défaut, un rapport de sécurité avec les détails de toute conclusion de règles, ainsi que dans la base de code, les infractions se sont produites et pourquoi.

Par défaut, la commande scan utilise le scanner Sast, d'autres types de scanner sont disponibles.

Le rapport de sécurité est une vue facilement digestible des problèmes de sécurité détectés par le porteur CLI. Un rapport est composé de:

• La liste des règles s'exécute par rapport à votre code.
• Chacun a détecté la recherche, contenant l'emplacement du fichier et les lignes qui ont déclenché la recherche de règles.
• Une section STAT avec un résumé des chèques de règles, des conclusions et des avertissements.

L'exemple d'exemple de boutique de jus d'OWASP déclenchera les résultats des règles et publiera un rapport complet. Voici une section de la sortie:

 ...
HIGH: Sensitive data stored in HTML local storage detected. [CWE-312]
https://docs.bearer.com/reference/rules/javascript_lang_session
To skip this rule, use the flag --skip-rule=javascript_lang_session

File: juice-shop/frontend/src/app/login/login.component.ts:102

 102       localStorage.setItem('email', this.user.email)


=====================================

59 checks, 40 findings

CRITICAL: 0
HIGH: 16 (CWE-22, CWE-312, CWE-798, CWE-89)
MEDIUM: 24 (CWE-327, CWE-548, CWE-79)
LOW: 0
WARNING: 0

En plus du rapport de sécurité, vous pouvez également exécuter un rapport de confidentialité.

Prêt pour la prochaine étape? Des options supplémentaires d'utilisation et de configuration de la commande scan peuvent être trouvées dans la configuration de la commande SCAN.

Pour plus de guides et de conseils d'utilisation, consultez les documents.

Les outils de sast sont connus pour enterrer les équipes de sécurité et les développeurs sous des centaines de problèmes avec peu de contexte et sans sens de la priorité, obligeant souvent les analystes à la sécurité à triage manuellement les problèmes.

L'actif le plus vulnérable aujourd'hui est les données sensibles, nous commençons donc là et priorisons les résultats en évaluant les flux de données sensibles pour mettre en évidence ce qui est plus critique et ce qui ne l'est pas. Cette capacité unique nous permet également de vous fournir un scanner de confidentialité.

Nous pensons qu'en reliant les problèmes de sécurité avec un impact commercial clair et un risque de violation de données ou de fuite de données, nous pouvons créer des logiciels mieux et plus robustes, sans frais supplémentaires.

De plus, en étant libre et ouvert, extensible par le design et construit avec un grand développeur UX à l'esprit, nous parions que vous verrez la différence par vous-même.

En plus de détecter les défauts de sécurité dans votre code, Bearier CLI vous permet d'automatiser le processus de collecte de preuves nécessaires pour générer un rapport de confidentialité pour votre équipe de conformité.

Lorsque vous exécutez CLI Bearer sur votre base de code, il découvre et classe les données en identifiant les modèles dans le code source. Plus précisément, il recherche des types de données et des correspondances. Plus important encore, il ne considère jamais les valeurs réelles - elle ne peut tout simplement pas - mais seulement le code lui-même. Si vous voulez en savoir plus, voici l'explication plus longue.

Bearier CLI est capable d'identifier plus de 120 types de données à partir de catégories de données sensibles telles que les données personnelles (PD), la MP sensible, les informations personnellement identifiables (PII) et les informations sur la santé personnelle (PHI). Vous pouvez afficher la liste complète dans la documentation des types de données prises en charge.

Enfin, Bearier CLI vous permet également de détecter les composants stockant et traitement des données sensibles telles que les bases de données, les API internes et les API tierces. Voir la liste des recettes pour une liste complète des composants.

Le porteur CLI prend actuellement en charge:

En savoir plus sur le soutien linguistique.

Cela dépend de la taille de vos applications. Cela peut prendre aussi peu que 20 secondes, jusqu'à quelques minutes pour une base de code extrêmement grande.

En règle générale, le porteur CLI ne devrait jamais prendre plus de temps que d'exécuter votre suite de test.

Dans le cas de l'intégration CI, nous fournissons une solution de scan Diff pour le rendre encore plus rapide. Apprendre encore plus.

Si vous connaissez Sast Tools, les faux positifs sont toujours une possibilité.

En utilisant les techniques d'analyse de code statique les plus modernes et en fournissant une solution de filtrage et de hiérarchisation native sur les problèmes les plus importants, nous pensons que nous avons considérablement amélioré l'expérience globale de Sast.

Nous nous efforçons de fournir la meilleure expérience possible à nos utilisateurs. En savoir plus sur la façon dont nous réalisons.

Nous vous recommandons de diriger CLI CLI dans votre CI pour vérifier automatiquement les nouveaux PR pour les problèmes de sécurité, donc votre équipe de développement a une boucle de rétroaction directe pour résoudre immédiatement les problèmes.

Vous pouvez également intégrer CLI Bearier dans votre CD, bien que nous recommandons de le définir pour échouer uniquement sur des problèmes de haute criticité, car l'impact pour votre organisation pourrait être important.

En outre, le porteur de course CLI en tant que travail prévu est un excellent moyen de garder une trace de votre posture de sécurité et de vous assurer que de nouveaux problèmes de sécurité se trouvent même dans des projets à faible activité.

Assurez-vous de lire notre guide de stratégie d'intégration pour plus d'informations.

Merci d'avoir utilisé CLI CLI. Vous avez encore des questions?

• Commencez par la documentation.
• Vous avez une question ou avez besoin d'aide? Trouvez l'équipe porteuse sur Discord.
• Vous avez une demande de fonctionnalité ou trouvé un bug? Ouvrez un nouveau problème.
• Vous avez trouvé un problème de sécurité? Consultez notre politique de sécurité pour la déclaration des détails.
• En savoir plus sur Beareer.com

Intéressé à contribuer? Nous sommes là pour ça! Pour plus de détails sur la façon de contribuer, la mise en place de votre environnement de développement et nos processus, passez en revue le guide de contribution.

Tout le monde interagit avec ce projet devrait suivre les directives de notre code de conduite.

Pour signaler une vulnérabilité ou une vulnérabilité suspectée, consultez notre politique de sécurité. Pour toutes les questions, préoccupations ou autres questions de sécurité, n'hésitez pas à ouvrir un problème ou à rejoindre la communauté Discord.

Le code CLI du porteur est autorisé en vertu des termes de la licence élastique 2.0 (ELV2), ce qui signifie que vous pouvez l'utiliser librement à l'intérieur de votre organisation pour protéger vos demandes sans aucune exigence commerciale.

Vous n'êtes pas autorisé à fournir une CLI porteur à des tiers en tant que service hébergé ou géré sans l'approbation explicite de Bearer Inc.