bearer

---

최고 보안 및 개인 정보 보호 위험에 대해 소스 코드를 스캔하십시오.

Bearer는 소스 코드를 스캔하고 데이터 흐름을 분석하여 보안 및 개인 정보 보호 위험을 식별, 필터링 및 우선 순위를 정하기 위해 설계된 정적 애플리케이션 보안 테스트 (SAST) 도구입니다.

Bearer는 무료 솔루션 인 Bearer CLI 및 Cycode를 통해 사용할 수있는 상용 솔루션 인 Bearer Pro를 제공합니다.

시작하기 -FAQ- 문서 - 버그보고 - 불화 커뮤니티

Bearer Cli : Go • Java • JavaScript • TypeScript • PHP • Python • Ruby
Cycode의 Bearer Pro : C# • Kotlin • Elixir + Bearer Os의 모든 것

Language Suppport에 대해 자세히 알아보십시오

Bearer CLI는 다음에 대해 소스 코드를 스캔합니다.

• OWASP Top 10 및 CWE Top 25를 다루는 내장 규칙을 사용한 보안 위험 및 취약점 : :

  • A01 : 액세스 제어 (예 : 경로 트래버스, 개방 리디렉션, 민감한 정보 노출).
  • A02 : 암호화 실패 (예 : 약한 알고리즘, 불안한 커뮤니케이션).
  • A03 : 주입 (예 : SQL 주입, 입력 검증, XSS, XPATH).
  • A04 : 설계 (예 : 민감한 데이터의 암호화 누락, 민감한 정보를 포함하는 지속적인 쿠키).
  • A05 : 보안 오해 (예 : 쿠키 또는 JWT에서 민감한 정보의 명확한 텍스트 저장).
  • A07 : 식별 및 인증 실패 (예 : 하드 코딩 된 암호 사용, 부적절한 인증서 유효성 검증).
  • A08 : 데이터 무결성 실패 (예 : 신뢰할 수없는 데이터의 사막화).
  • A09 : 보안 로깅 및 모니터링 실패 (예 : 민감한 정보를 로그 파일에 삽입).
  • A10 : 서버 측 요청 위조 (SSRF).

  참고 : 모든 규칙과 코드 패턴은 문서를 통해 액세스 할 수 있습니다.

• 프라이버시는 PII, PHI 사용과 같은 민감한 데이터 흐름을 감지 할 수있는 능력 및 Components Congrication Sensitive Data (예 : PGSQL, OpenAI, Sentry 등과 같은 타사 API)를 처리하는 구성 요소를 감지 할 수 있습니다. 이는 다음과 관련된 개인 정보 보호 보고서를 생성하는 데 도움이됩니다.

  • 프라이버시 영향 평가 (PIA).
  • 데이터 보호 영향 평가 (DPIA).
  • GDPR 준수보고를위한 처리 활동 (ROPA) 입력.

몇 분만에 가장 중요한 보안 위험과 취약점을 발견하십시오. 이 안내서에서는 Bearer CLI를 설치하고 로컬 프로젝트에서 보안 스캔을 실행하며 결과를 보게됩니다. 시작합시다!

Bearer CLI를 설치하는 가장 빠른 방법은 설치 스크립트를 사용하는 것입니다. 아키텍처를위한 최고의 빌드를 자동으로 선택합니다. 기본값은 ./bin 및 최신 릴리스 버전으로 설치합니다 .

curl -sfL https://raw.githubusercontent.com/Bearer/bearer/main/contrib/install.sh | sh

brew install bearer/tap/bearer

brew update && brew upgrade bearer/tap/bearer

sudo apt-get install apt-transport-https
echo " deb [trusted=yes] https://apt.fury.io/bearer/ / " | sudo tee -a /etc/apt/sources.list.d/fury.list
sudo apt-get update
sudo apt-get install bearer

sudo apt-get update
sudo apt-get install bearer

$ sudo vim /etc/yum.repos.d/fury.repo
[fury]
name=Gemfury Private Repo
baseurl=https://yum.fury.io/bearer/
enabled=1
gpgcheck=0

  sudo yum -y update
  sudo yum -y install bearer

sudo yum -y update bearer

docker run --rm -v /path/to/repo:/tmp/scan bearer/bearer:latest-amd64 scan /tmp/scan

 version : " 3 "
services :
  bearer :
    platform : linux/amd64
    image : bearer/bearer:latest-amd64
    volumes :
      - /path/to/repo:/tmp/scan

docker compose run bearer scan /tmp/scan --debug

Bearer CLI를 시험해 보는 가장 쉬운 방법은 Owasp Juice Shop 예제 프로젝트입니다. 일반적인 보안 결함으로 사실적인 JavaScript 응용 프로그램을 시뮬레이션합니다. 편리한 위치로 복제하거나 다운로드하여 시작하십시오.

git clone https://github.com/juice-shop/juice-shop.git

이제 프로젝트 디렉토리에서 bearer scan 으로 스캔 명령을 실행하십시오.

bearer scan juice-shop

진행률 표시 줄은 스캔 상태를 표시합니다.

스캔이 완료되면 Bearer CLI는 기본적으로 모든 규칙 결과에 대한 세부 사항과 코드베이스의 위치가 발생한 위치와 그 이유와 그 이유가있는 보안 보고서를 기본적으로 출력합니다.

기본적으로 scan 명령은 SAST 스캐너를 사용하면 다른 스캐너 유형을 사용할 수 있습니다.

보안 보고서는 Bearer CLI가 감지 한 보안 문제를 쉽게 소화 할 수 있습니다. 보고서는 다음으로 구성됩니다.

• 규칙 목록은 코드에 대해 실행됩니다.
• 파일 위치와 규칙 찾기를 트리거하는 줄을 포함하는 각각의 검출을 감지했습니다.
• 규칙 검사, 결과 및 경고 요약이있는 통계 섹션.

OWASP 주스 상점 예제 응용 프로그램은 규칙 결과를 트리거하고 전체 보고서를 출력합니다. 다음은 출력 섹션입니다.

 ...
HIGH: Sensitive data stored in HTML local storage detected. [CWE-312]
https://docs.bearer.com/reference/rules/javascript_lang_session
To skip this rule, use the flag --skip-rule=javascript_lang_session

File: juice-shop/frontend/src/app/login/login.component.ts:102

 102       localStorage.setItem('email', this.user.email)


=====================================

59 checks, 40 findings

CRITICAL: 0
HIGH: 16 (CWE-22, CWE-312, CWE-798, CWE-89)
MEDIUM: 24 (CWE-327, CWE-548, CWE-79)
LOW: 0
WARNING: 0

보안 보고서 외에도 개인 정보 보호 보고서를 실행할 수도 있습니다.

다음 단계에 대한 준비가 되셨습니까? scan 명령을 사용하고 구성하기위한 추가 옵션을 찾을 수 있습니다.

더 많은 가이드 및 사용 팁을 보려면 문서를보십시오.

SAST 도구는 컨텍스트가 거의없고 우선 순위가없는 수백 가지의 문제에 따라 보안 팀과 개발자를 묻는 것으로 알려져 있으며, 보안 분석가에게 수동으로 문제가 발생해야합니다.

오늘날 가장 취약한 자산은 민감한 데이터이므로 민감한 데이터 흐름을 평가하여 더 중요한 것과 그렇지 않은 것을 강조함으로써 결과를 우선 순위를 정하고 결과를 우선시합니다. 이 고유 한 기능을 통해 개인 정보 스캐너도 제공 할 수 있습니다.

우리는 보안 문제를 명확한 비즈니스 영향 및 데이터 유출 또는 데이터 유출 위험과 연결함으로써 추가 비용없이 더 나은 강력한 소프트웨어를 구축 할 수 있다고 생각합니다.

또한, 자유롭고 개방적이며 디자인으로 확장 가능하며 훌륭한 개발자 UX를 염두에두고 구축함으로써 우리는 자신의 차이를 볼 것입니다.

코드의 보안 결함을 감지하는 것 외에도 Bearer CLI를 사용하면 규정 준수 팀의 개인 정보 보호 보고서를 생성하는 데 필요한 증거 수집 프로세스를 자동화 할 수 있습니다.

코드베이스에서 Bearer CLI를 실행하면 소스 코드에서 패턴을 식별하여 데이터를 발견하고 분류합니다. 구체적으로, 데이터 유형과 일치를 찾습니다. 가장 중요한 것은 실제 값을 보지 못하고 코드 자체 만 볼 수 없습니다. 더 많은 것을 배우고 싶다면 다음은 더 긴 설명입니다.

Bearer CLI는 개인 데이터 (PD), 민감한 PD, 개인 식별 정보 (PII) 및 개인 건강 정보 (PHI)와 같은 민감한 데이터 범주에서 120 개가 넘는 데이터 유형을 식별 할 수 있습니다. 지원되는 데이터 유형 문서에서 전체 목록을 볼 수 있습니다.

마지막으로 Bearer CLI를 사용하면 데이터베이스, 내부 API 및 타사 API와 같은 민감한 데이터 저장 및 처리를 감지 할 수 있습니다. 전체 구성 요소 목록은 레시피 목록을 참조하십시오.

Bearer CLI는 현재 지원합니다.

언어 지원에 대해 자세히 알아보십시오.

응용 프로그램의 크기에 따라 다릅니다. 매우 큰 코드베이스의 경우 20 초, 최대 몇 분이 걸릴 수 있습니다.

경험상, Bearer CLI는 테스트 스위트를 실행하는 것보다 더 많은 시간을 할애해서는 안됩니다.

CI 통합의 경우 Diff 스캔 솔루션을 제공하여 더 빠르게 만들 수 있습니다. 자세히 알아보십시오.

SAST 도구에 익숙하다면 잘못된 양성은 항상 가능합니다.

가장 현대적인 정적 코드 분석 기술을 사용하고 가장 중요한 문제에 대한 기본 필터링 및 우선 순위 지정 솔루션을 제공함으로써 우리는 전체 SAST 경험을 크게 향상 시켰다고 생각합니다.

우리는 사용자에게 최상의 경험을 제공하기 위해 노력합니다. 이를 달성하는 방법에 대해 자세히 알아보십시오.

CI에서 Bearer CLI를 실행하는 것이 좋습니다. 보안 문제에 대해 새 PRS를 자동으로 확인하는 것이 좋습니다. 따라서 개발 팀에는 직접적인 피드백 루프가있어 즉시 문제를 해결할 수 있습니다.

CD에 Bearer CLI를 통합 할 수도 있지만, 조직의 영향이 중요 할 수 있으므로 높은 중요성 문제에 대해서만 실패하도록 설정하는 것이 좋습니다.

또한, 예정된 작업으로 Bearer CLI를 실행하는 것은 보안 자세를 추적하고 활동이 낮은 프로젝트에서도 새로운 보안 문제를 찾을 수있는 좋은 방법입니다.

자세한 내용은 통합 전략 안내서를 읽으십시오.

Bearer CLI를 사용해 주셔서 감사합니다. 여전히 질문이 있습니까?

• 문서로 시작하십시오.
• 질문이 있거나 도움이 필요하십니까? Discord에서 Bearer 팀을 찾으십시오.
• 기능 요청이 있거나 버그를 찾았습니까? 새로운 문제를 엽니 다.
• 보안 문제를 찾았습니까? 보고서에 대한 보안 정책을 확인하십시오.
• Bearer.com에서 자세히 알아보십시오

기여에 관심이 있으십니까? 우리는 그것을 위해 여기에 있습니다! 기여, 개발 환경 설정 및 프로세스를 설정하는 방법에 대한 자세한 내용은 기여 가이드를 검토하십시오.

이 프로젝트와 상호 작용하는 모든 사람은 당사 행동 강령의 지침을 따라야합니다.

취약성 또는 의심되는 취약성을보고하려면 보안 정책을 참조하십시오. 질문, 우려 사항 또는 기타 보안 문제에 대해서는 문제를 열거 나 Discord 커뮤니티에 가입하십시오.

Bearer CLI 코드는 ELV2 (Elastic License 2.0)의 조건에 따라 라이센스가 부여되므로 조직 내에서 자유롭게 사용하여 상업적 요구 사항없이 응용 프로그램을 보호 할 수 있습니다.

Bearer Inc.