bearer

---

トップセキュリティとプライバシーのリスクに対してソースコードをスキャンします。

Bearerは、ソースコードをスキャンし、データフローを分析してセキュリティとプライバシーのリスクを識別、フィルタリング、および優先順位付けするために設計された静的アプリケーションセキュリティテスト（SAST）ツールです。

Bearerは、無料のオープンソリューション、BearerCLI、およびCycodeから入手可能な商用ソリューション、Bearer Proを提供しています。

開始 - FAQ-ドキュメント - バグを報告 - 不一致コミュニティ

ベアラーCLI ：GO•Java•JavaScript•TypeScript•PHP•Python•Ruby
CycodeによるBearer Pro ：C＃•Kotlin•Elixir + Bearer OSのすべて

Language Suppportの詳細をご覧ください

BEARERCLIはあなたのソースコードをスキャンします：

• OWASPトップ10とCWEトップ25をカバーする組み込みのルールを使用したセキュリティリスクと脆弱性：

  • A01：アクセス制御（例えば、パストラバーサル、オープンリダイレクト、機密情報の露出）。
  • A02：暗号化の障害（例：弱いアルゴリズム、不安定な通信）。
  • A03：注入（例：SQL注入、入力検証、XSS、XPath）。
  • A04：設計（機密データの暗号化の欠落、機密情報を含む永続的なCookie）。
  • A05：Security Misconfiguration（例：CookieまたはJWTの機密情報のクリアテキストストレージ）。
  • A07：識別と認証の障害（例：ハードコーディングされたパスワードの使用、不適切な証明書の検証）。
  • A08：データの整合性の障害（例：信頼されていないデータの脱isization）。
  • A09：セキュリティロギングと監視障害（たとえば、機密情報のログファイルへの挿入）。
  • A10：サーバー側のリクエスト偽造（SSRF）。

  注：すべてのルールとそのコードパターンは、ドキュメントからアクセスできます。

• プライバシーは、PIIの使用、アプリでのPHI、およびコンポーネントに敏感なデータを処理するコンポーネント（PGSQL、Openai、SentryなどのサードパーティAPIなど）を処理するコンポーネントなどの機密データフローを検出する機能を備えています。これにより、次のことに関連するプライバシーレポートが生成されます。

  • プライバシーインパクトアセスメント（PIA）。
  • データ保護影響評価（DPIA）。
  • GDPRコンプライアンスレポートの処理活動（ROPA）入力の記録。

わずか数分で最も重要なセキュリティリスクと脆弱性を発見してください。このガイドでは、BearerCLIをインストールし、ローカルプロジェクトでセキュリティスキャンを実行し、結果を表示します。始めましょう！

BearerCLIをインストールする最も簡単な方法は、インストールスクリプトを使用することです。アーキテクチャに最適なビルドを自動選択します。デフォルトのインストールは./binおよび最新リリースバージョンへのインストール：

curl -sfL https://raw.githubusercontent.com/Bearer/bearer/main/contrib/install.sh | sh

brew install bearer/tap/bearer

brew update && brew upgrade bearer/tap/bearer

sudo apt-get install apt-transport-https
echo " deb [trusted=yes] https://apt.fury.io/bearer/ / " | sudo tee -a /etc/apt/sources.list.d/fury.list
sudo apt-get update
sudo apt-get install bearer

sudo apt-get update
sudo apt-get install bearer

$ sudo vim /etc/yum.repos.d/fury.repo
[fury]
name=Gemfury Private Repo
baseurl=https://yum.fury.io/bearer/
enabled=1
gpgcheck=0

  sudo yum -y update
  sudo yum -y install bearer

sudo yum -y update bearer

docker run --rm -v /path/to/repo:/tmp/scan bearer/bearer:latest-amd64 scan /tmp/scan

 version : " 3 "
services :
  bearer :
    platform : linux/amd64
    image : bearer/bearer:latest-amd64
    volumes :
      - /path/to/repo:/tmp/scan

docker compose run bearer scan /tmp/scan --debug

BearerCLIを試す最も簡単な方法は、OWASPジュースショップの例プロジェクトです。共通のセキュリティ欠陥を備えた現実的なJavaScriptアプリケーションをシミュレートします。クローンまたはそれを便利な場所にダウンロードして、開始します。

git clone https://github.com/juice-shop/juice-shop.git

次に、プロジェクトディレクトリでbearer scanを使用してスキャンコマンドを実行します。

bearer scan juice-shop

進行状況バーにスキャンのステータスが表示されます。

スキャンが完了すると、Bearer CLIは、デフォルトで、ルールの調査結果の詳細を含むセキュリティレポートと、コードベースの違反が発生した場所とその理由を出力します。

デフォルトでは、 scanコマンドはSASTスキャナーを使用し、他のスキャナータイプが利用可能です。

セキュリティレポートは、BearerCLIによって検出されたセキュリティ問題の簡単に消化可能なビューです。レポートは次のとおりです。

• ルールのリストは、コードに対して実行されます。
• それぞれが検出され、ファイルの位置とルールの発見をトリガーした行を含みました。
• ルールチェック、調査結果、警告の概要を備えた統計セクション。

OWASPジュースショップの例アプリケーションは、ルールの調査結果をトリガーし、完全なレポートを出力します。これが出力のセクションです。

 ...
HIGH: Sensitive data stored in HTML local storage detected. [CWE-312]
https://docs.bearer.com/reference/rules/javascript_lang_session
To skip this rule, use the flag --skip-rule=javascript_lang_session

File: juice-shop/frontend/src/app/login/login.component.ts:102

 102       localStorage.setItem('email', this.user.email)


=====================================

59 checks, 40 findings

CRITICAL: 0
HIGH: 16 (CWE-22, CWE-312, CWE-798, CWE-89)
MEDIUM: 24 (CWE-327, CWE-548, CWE-79)
LOW: 0
WARNING: 0

セキュリティレポートに加えて、プライバシーレポートを実行することもできます。

次のステップの準備はできましたか？ scanコマンドを使用および構成するための追加のオプションは、スキャンコマンドの構成にあります。

ガイドと使用のヒントについては、ドキュメントをご覧ください。

SASTツールは、セキュリティチームと開発者を、コンテキストがほとんどなく優先順位がなく、何百もの問題の下で埋葬されることが知られており、多くの場合、セキュリティアナリストが手動で問題をトリアージすることを要求します。

今日の最も脆弱な資産は機密データです。そのため、敏感なデータフローを評価してより重要なものとそうでないものを強調することにより、そこから始めて調査結果を優先します。このユニークな能力により、プライバシースキャナーも提供できます。

セキュリティの問題を明確なビジネスへの影響とデータ侵害のリスク、またはデータリークのリスクと結びつけることにより、追加費用なしでより良く、より堅牢なソフトウェアを構築できると考えています。

さらに、無料でオープンで、設計により拡張可能であり、優れた開発者UXを念頭に置いて構築することで、自分の違いが見えることに違いありません。

コードのセキュリティ欠陥の検出に加えて、Bearer CLIを使用すると、コンプライアンスチームのプライバシーレポートを生成するために必要なエビデンス収集プロセスを自動化できます。

CodeBaseでBearerCLIを実行すると、ソースコードのパターンを識別することにより、データを発見および分類します。具体的には、データ型とそれらに対する一致を探します。最も重要なことは、実際の値を表示することはなく、コード自体だけではありません。詳細を知りたい場合は、長い説明をご紹介します。

Bearer CLIは、個人データ（PD）、機密PD、個人識別可能な情報（PII）、および個人の健康情報（PHI）などの機密データカテゴリから120以上のデータ型を識別できます。サポートされているデータ型のドキュメントで完全なリストを表示できます。

最後に、Bearer CLIでは、データベース、内部API、サードパーティAPIなどの機密データの保存と処理コンポーネントを検出できます。コンポーネントの完全なリストについては、レシピリストを参照してください。

BearerCLIは現在サポートしています：

言語サポートの詳細をご覧ください。

アプリケーションのサイズに依存します。非常に大きなコードベースには、わずか20秒、最大数分かかることがあります。

経験則として、ベアラーCLIは、テストスイートを実行するよりも時間をかけてはいけません。

CI統合の場合、DIFFスキャンソリューションを提供して、さらに高速にします。もっと詳しく知る。

SASTツールに精通している場合、誤検知は常に可能です。

最も最新の静的コード分析手法を使用し、最も重要な問題に関するネイティブのフィルタリングと優先順位付けソリューションを提供することにより、全体的なSASTエクスペリエンスを劇的に改善したと考えています。

私たちは、ユーザーに可能な限り最高の体験を提供するよう努めています。これを達成する方法の詳細をご覧ください。

CIでBearerCLIを実行して、セキュリティの問題について新しいPRSを自動的にチェックすることをお勧めします。そのため、開発チームには直接フィードバックループがあり、すぐに問題を修正します。

CDにBearerCLIを統合することもできますが、組織への影響が重要である可能性があるため、高い重要性の問題でのみ失敗するように設定することをお勧めします。

さらに、ベアラーCLIをスケジュールされた仕事として実行することは、セキュリティの姿勢を追跡し、アクティビティが低いプロジェクトでも新しいセキュリティの問題が見つかることを確認するための優れた方法です。

詳細については、統合戦略ガイドを必ずお読みください。

BearerCLIを使用してくれてありがとう。まだ質問がありますか？

• ドキュメントから始めます。
• 質問がありますか、それとも助けが必要ですか？ DiscordでBearerチームを見つけてください。
• 機能のリクエストを受けましたか、それともバグを見つけましたか？新しい問題を開きます。
• セキュリティの問題を見つけましたか？報告の詳細については、セキュリティポリシーをご覧ください。
• Bearer.comで詳細をご覧ください

貢献に興味がありますか？私たちはそれのためにここにいます！開発方法、開発環境のセットアップ、およびプロセスの詳細については、貢献ガイドを確認してください。

このプロジェクトと対話するすべての人は、私たちの行動規範のガイドラインに従うことが期待されています。

脆弱性または脆弱性の疑いを報告するには、セキュリティポリシーを参照してください。質問、懸念、またはその他のセキュリティの問題については、問題を公開するか、Discordコミュニティに参加してください。

Bearer CLIコードは、弾性ライセンス2.0（ELV2）の条件に基づいてライセンスされています。つまり、組織内で自由に使用して、商業要件なしでアプリケーションを保護できます。

Bearer Inc.