bearer

---

Pindai kode sumber Anda terhadap risiko keamanan dan privasi tertinggi.

Bearer adalah alat pengujian keamanan aplikasi statis (SAST) yang dirancang untuk memindai kode sumber Anda dan menganalisis aliran data untuk mengidentifikasi, memfilter, dan memprioritaskan risiko keamanan dan privasi.

Bearer menawarkan solusi gratis, terbuka, pembawa CLI, dan solusi komersial, Bearer Pro, tersedia melalui cycode.

Memulai - FAQ - Dokumentasi - Laporkan Bug - Komunitas Perselisihan

Pembawa CLI : GO • Java • JavaScript • TypeScript • PHP • Python • Ruby
Bearer Pro by Cycode : C# • Kotlin • Elixir + Everything in Bearer OSS

Pelajari lebih lanjut tentang Support Bahasa

Pembawa CLI memindai kode sumber Anda untuk:

• Risiko dan Kerentanan Keamanan Menggunakan aturan bawaan yang mencakup Top 10 dan CWE Top 25, seperti:

  • A01: Kontrol akses (misalnya traversal jalur, pengalihan terbuka, paparan informasi sensitif).
  • A02: Kegagalan kriptografi (misalnya algoritma lemah, komunikasi yang tidak aman).
  • A03: Injeksi (misalnya injeksi SQL, validasi input, XSS, XPATH).
  • A04: Desain (misalnya enkripsi data sensitif yang hilang, cookie persisten yang berisi informasi sensitif).
  • A05: Kesalahpahaman keamanan (mis. Penyimpanan ClearText Informasi Sensitif dalam Cookie atau JWT).
  • A07: Kegagalan identifikasi dan otentikasi (misalnya penggunaan kata sandi yang dikodekan, validasi sertifikat yang tidak tepat).
  • A08: Kegagalan integritas data (misalnya deserialisasi data yang tidak dipercaya).
  • A09: Kegagalan logging dan pemantauan keamanan (misalnya penyisipan informasi sensitif ke dalam file log).
  • A10: Pemalsuan Permintaan Sisi Server (SSRF).

  Catatan: Semua aturan dan pola kode mereka dapat diakses melalui dokumentasi.

• Risiko privasi dengan kemampuan untuk mendeteksi aliran data yang sensitif seperti penggunaan PII, PHI di aplikasi Anda, dan komponen yang memproses data sensitif (misalnya database seperti PGSQL, API pihak ketiga seperti OpenAI, Sentry, dll.). Ini membantu menghasilkan laporan privasi yang relevan untuk:

  • Penilaian Dampak Privasi (PIA).
  • Penilaian Dampak Perlindungan Data (DPIA).
  • Input Catatan Kegiatan Pemrosesan (ROPA) untuk Pelaporan Kepatuhan GDPR.

Temukan risiko dan kerentanan keamanan Anda yang paling kritis hanya dalam beberapa menit. Dalam panduan ini, Anda akan menginstal pembawa CLI, menjalankan pemindaian keamanan pada proyek lokal, dan melihat hasilnya. Mari kita mulai!

Cara tercepat untuk menginstal pembawa CLI adalah dengan skrip instal. Ini akan memilih auto yang terbaik untuk arsitektur Anda. Instalasi default ke ./bin dan ke versi rilis terbaru :

curl -sfL https://raw.githubusercontent.com/Bearer/bearer/main/contrib/install.sh | sh

brew install bearer/tap/bearer

brew update && brew upgrade bearer/tap/bearer

sudo apt-get install apt-transport-https
echo " deb [trusted=yes] https://apt.fury.io/bearer/ / " | sudo tee -a /etc/apt/sources.list.d/fury.list
sudo apt-get update
sudo apt-get install bearer

sudo apt-get update
sudo apt-get install bearer

$ sudo vim /etc/yum.repos.d/fury.repo
[fury]
name=Gemfury Private Repo
baseurl=https://yum.fury.io/bearer/
enabled=1
gpgcheck=0

  sudo yum -y update
  sudo yum -y install bearer

sudo yum -y update bearer

docker run --rm -v /path/to/repo:/tmp/scan bearer/bearer:latest-amd64 scan /tmp/scan

 version : " 3 "
services :
  bearer :
    platform : linux/amd64
    image : bearer/bearer:latest-amd64
    volumes :
      - /path/to/repo:/tmp/scan

docker compose run bearer scan /tmp/scan --debug

Cara termudah untuk mencoba pembawa CLI adalah dengan proyek contoh toko Owasp Juice. Ini mensimulasikan aplikasi JavaScript yang realistis dengan kelemahan keamanan umum. Klon atau unduh ke lokasi yang nyaman untuk memulai.

git clone https://github.com/juice-shop/juice-shop.git

Sekarang, jalankan perintah pemindaian dengan bearer scan di direktori proyek:

bearer scan juice-shop

Bilah kemajuan akan menampilkan status pemindaian.

Setelah pemindaian selesai, pembawa CLI akan menghasilkan, secara default, laporan keamanan dengan rincian temuan aturan apa pun, serta di mana dalam basis kode pelanggaran terjadi dan mengapa.

Secara default perintah scan menggunakan pemindai SAST, jenis pemindai lainnya tersedia.

Laporan keamanan adalah pandangan yang mudah dicerna dari masalah keamanan yang terdeteksi oleh pembawa CLI. Sebuah laporan terdiri dari:

• Daftar aturan yang dijalankan terhadap kode Anda.
• Setiap temuan yang terdeteksi, berisi lokasi file dan baris yang memicu temuan aturan.
• Bagian stat dengan ringkasan pemeriksaan, temuan, dan peringatan aturan.

Aplikasi Contoh Toko Jus OWASP akan memicu temuan dan mengeluarkan laporan lengkap. Berikut bagian dari output:

 ...
HIGH: Sensitive data stored in HTML local storage detected. [CWE-312]
https://docs.bearer.com/reference/rules/javascript_lang_session
To skip this rule, use the flag --skip-rule=javascript_lang_session

File: juice-shop/frontend/src/app/login/login.component.ts:102

 102       localStorage.setItem('email', this.user.email)


=====================================

59 checks, 40 findings

CRITICAL: 0
HIGH: 16 (CWE-22, CWE-312, CWE-798, CWE-89)
MEDIUM: 24 (CWE-327, CWE-548, CWE-79)
LOW: 0
WARNING: 0

Selain laporan keamanan, Anda juga dapat menjalankan laporan privasi.

Siap untuk langkah selanjutnya? Opsi tambahan untuk menggunakan dan mengonfigurasi perintah scan dapat ditemukan dalam mengkonfigurasi perintah pemindaian.

Untuk lebih banyak pemandu dan tips penggunaan, lihat dokumen.

Alat SAST diketahui mengubur tim dan pengembang keamanan di bawah ratusan masalah dengan sedikit konteks dan tidak ada rasa prioritas, seringkali membutuhkan analis keamanan untuk triase masalah secara manual.

Aset yang paling rentan saat ini adalah data sensitif, jadi kami mulai dari sana dan memprioritaskan temuan dengan menilai aliran data sensitif untuk menyoroti apa yang lebih kritis, dan apa yang tidak. Kemampuan unik ini memungkinkan kami untuk memberi Anda pemindai privasi juga.

Kami percaya bahwa dengan menghubungkan masalah keamanan dengan dampak bisnis yang jelas dan risiko pelanggaran data, atau kebocoran data, kami dapat membangun perangkat lunak yang lebih baik dan lebih kuat, tanpa biaya tambahan.

Selain itu, dengan bebas dan terbuka, dapat diperpanjang oleh desain, dan dibangun dengan pemikiran pengembang yang hebat, kami yakin Anda akan melihat perbedaannya untuk diri sendiri.

Selain mendeteksi kelemahan keamanan dalam kode Anda, pembawa CLI memungkinkan Anda untuk mengotomatiskan proses pengumpulan bukti yang diperlukan untuk menghasilkan laporan privasi untuk tim kepatuhan Anda.

Saat Anda menjalankan pembawa CLI pada basis kode Anda, itu menemukan dan mengklasifikasikan data dengan mengidentifikasi pola dalam kode sumber. Secara khusus, ia mencari tipe data dan cocok dengan mereka. Yang paling penting, itu tidak pernah melihat nilai -nilai yang sebenarnya - itu tidak bisa - tetapi hanya kode itu sendiri. Jika Anda ingin mempelajari lebih lanjut, berikut adalah penjelasan yang lebih panjang.

Bearer CLI dapat mengidentifikasi lebih dari 120+ tipe data dari kategori data sensitif seperti data pribadi (PD), PD sensitif, informasi yang dapat diidentifikasi secara pribadi (PII), dan Informasi Kesehatan Pribadi (PHI). Anda dapat melihat daftar lengkap dalam dokumentasi tipe data yang didukung.

Akhirnya, Bearer CLI juga memungkinkan Anda mendeteksi komponen yang menyimpan dan memproses data sensitif seperti database, API internal, dan API pihak ketiga. Lihat daftar resep untuk daftar lengkap komponen.

Pembawa CLI saat ini mendukung:

Pelajari lebih lanjut tentang dukungan bahasa.

Itu tergantung pada ukuran aplikasi Anda. Ini bisa memakan waktu hanya 20 detik, hingga beberapa menit untuk basis kode yang sangat besar.

Sebagai aturan praktis, pembawa CLI tidak boleh memakan waktu lebih banyak daripada menjalankan suite tes Anda.

Dalam kasus integrasi CI, kami memberikan solusi pemindaian yang berbeda untuk membuatnya lebih cepat. Pelajari lebih lanjut.

Jika Anda terbiasa dengan alat SAST, positif palsu selalu merupakan suatu kemungkinan.

Dengan menggunakan teknik analisis kode statis paling modern dan memberikan solusi penyaringan dan memprioritaskan asli pada masalah yang paling penting, kami percaya kami telah secara dramatis meningkatkan pengalaman SAST secara keseluruhan.

Kami berusaha untuk memberikan pengalaman terbaik bagi pengguna kami. Pelajari lebih lanjut tentang bagaimana kami mencapai ini.

Kami merekomendasikan menjalankan pembawa CLI di CI Anda untuk memeriksa PR baru secara otomatis untuk masalah keamanan, sehingga tim pengembangan Anda memiliki loop umpan balik langsung untuk segera memperbaiki masalah.

Anda juga dapat mengintegrasikan CLI pembawa dalam CD Anda, meskipun kami sarankan untuk mengaturnya hanya gagal pada masalah kekritisan tinggi, karena dampak untuk organisasi Anda mungkin penting.

Selain itu, Running Bearer CLI sebagai pekerjaan yang dijadwalkan adalah cara yang bagus untuk melacak postur keamanan Anda dan memastikan masalah keamanan baru ditemukan bahkan dalam proyek dengan aktivitas rendah.

Pastikan untuk membaca Panduan Strategi Integrasi kami untuk informasi lebih lanjut.

Terima kasih telah menggunakan pembawa CLI. Masih punya pertanyaan?

• Mulailah dengan dokumentasi.
• Punya pertanyaan atau butuh bantuan? Temukan tim pembawa di perselisihan.
• Punya permintaan fitur atau menemukan bug? Buka masalah baru.
• Menemukan masalah keamanan? Lihatlah Kebijakan Keamanan kami untuk rincian pelaporan.
• Cari tahu lebih lanjut di Bearer.com

Tertarik berkontribusi? Kami di sini untuk itu! Untuk perincian tentang cara berkontribusi, menyiapkan lingkungan pengembangan Anda, dan proses kami, tinjau panduan kontribusi.

Setiap orang yang berinteraksi dengan proyek ini diharapkan mengikuti pedoman kode etik kami.

Untuk melaporkan kerentanan atau dugaan kerentanan, lihat kebijakan keamanan kami. Untuk pertanyaan, masalah atau masalah keamanan lainnya, jangan ragu untuk membuka masalah atau bergabung dengan komunitas Discord.

Kode CLI Bearer dilisensikan berdasarkan ketentuan lisensi elastis 2.0 (ELV2), yang berarti Anda dapat menggunakannya secara bebas di dalam organisasi Anda untuk melindungi aplikasi Anda tanpa persyaratan komersial.

Anda tidak diizinkan memberikan CLI pembawa kepada pihak ketiga sebagai layanan yang di -host atau dikelola tanpa persetujuan eksplisit dari Bearer Inc.