bearer
v1.47.0
Начало работы - FAQ - Документация - Сообщите об ошибке - сообщество Discord
CLI CLI : GO • Java • JavaScript • TypeScript • Php • Python • Ruby
Bearer Pro от comode : c# • kotlin • elixir + все в носитель
Узнайте больше о языковом соревнованиях
Носитель CLI сканирует ваш исходный код для:
Риски безопасности и уязвимости с использованием встроенных правил, охватывающих Top 10 и CWE Top 25 OWASP, такие как:
Примечание. Все правила и их кодовые шаблоны доступны через документацию.
Риски конфиденциальности с возможностью обнаружения конфиденциального потока данных, такого как использование PII, PHI в вашем приложении и компоненты, обрабатывающие конфиденциальные данные (например, базы данных, такие как PGSQL, API сторонних партий, такие как OpenAI, Sentry и т. Д.). Это помогает создать отчет о конфиденциальности, имеющий значение для:
Откройте для себя наиболее важные риски безопасности и уязвимости всего за несколько минут. В этом руководстве вы установите CLI -носителя, запустите сканирование безопасности на локальном проекте и просмотрите результаты. Начнем!
Самый быстрый способ установить CLI -носителя - сценарий установки. Это автоматически выберет лучшую сборку для вашей архитектуры. По умолчанию установка в ./bin и к последней версии релиза :
curl -sfL https://raw.githubusercontent.com/Bearer/bearer/main/contrib/install.sh | shИспользуя официальный доморосток CLI CLI:
brew install bearer/tap/bearerОбновите существующую установку со следующей:
brew update && brew upgrade bearer/tap/bearersudo apt-get install apt-transport-https
echo " deb [trusted=yes] https://apt.fury.io/bearer/ / " | sudo tee -a /etc/apt/sources.list.d/fury.list
sudo apt-get update
sudo apt-get install bearerОбновите существующую установку со следующей:
sudo apt-get update
sudo apt-get install bearerДобавить настройку репозитория:
$ sudo vim /etc/yum.repos.d/fury.repo
[fury]
name=Gemfury Private Repo
baseurl=https://yum.fury.io/bearer/
enabled=1
gpgcheck=0Затем установите с Yum:
sudo yum -y update
sudo yum -y install bearerОбновите существующую установку со следующей:
sudo yum -y update bearerCLI Bearer также доступен в качестве изображения Docker на Docker Hub и GHCR.IO.
При установленном Docker вы можете запустить следующую команду с соответствующими путями вместо примеров.
docker run --rm -v /path/to/repo:/tmp/scan bearer/bearer:latest-amd64 scan /tmp/scan Кроме того, вы можете использовать Docker Compose. Добавьте следующее в свой файл docker-compose.yml и замените объемы на соответствующие пути для вашего проекта:
version : " 3 "
services :
bearer :
platform : linux/amd64
image : bearer/bearer:latest-amd64
volumes :
- /path/to/repo:/tmp/scan Затем запустите команду docker compose run , чтобы запустить CLI с любыми указанными флагами:
docker compose run bearer scan /tmp/scan --debugПриведенные выше конфигурации Docker всегда будут использовать последний выпуск.
Загрузите файл архива для вашей операционной системы/архитектуры отсюда.
Распакуйте архив и поместите бинарку где-нибудь в свой путь $ (в Unix-y Systems,/usr/local/bin или тому подобное). Убедитесь, что у него есть разрешение на выполнение.
Чтобы обновить CLI при использовании BINARY, загрузите последний выпуск и перезаписывайте существующим местоположением установки.
Самый простой способ попробовать CLI -носителя - это Project Owasp Juice Shop Project. Он имитирует реалистичное приложение JavaScript с общими недостатками безопасности. Клонировать или загрузить его в удобное место, чтобы начать.
git clone https://github.com/juice-shop/juice-shop.git Теперь запустите команду Scan с bearer scan на каталоге проекта:
bearer scan juice-shopВ панели прогресса отобразится статус сканирования.
Как только сканирование будет завершено, по умолчанию будет выводить отчет о безопасности с подробной информацией о любых выводах правил, а также о том, где в кодовой базе произошли нарушения и почему.
По умолчанию команда scan Используйте SAST Scanner, доступны другие типы сканера.
Отчет о безопасности представляет собой легко усваиваемое представление о проблемах безопасности, обнаруженных CLI. Отчет состоит из:
Пример приложения Sup Shop Owasp приведет к выводу правил и выведет полный отчет. Вот раздел вывода:
...
HIGH: Sensitive data stored in HTML local storage detected. [CWE-312]
https://docs.bearer.com/reference/rules/javascript_lang_session
To skip this rule, use the flag --skip-rule=javascript_lang_session
File: juice-shop/frontend/src/app/login/login.component.ts:102
102 localStorage.setItem('email', this.user.email)
=====================================
59 checks, 40 findings
CRITICAL: 0
HIGH: 16 (CWE-22, CWE-312, CWE-798, CWE-89)
MEDIUM: 24 (CWE-327, CWE-548, CWE-79)
LOW: 0
WARNING: 0
В дополнение к отчету о безопасности, вы также можете запустить отчет о конфиденциальности.
Готовы к следующему шагу? Дополнительные параметры для использования и настройки команды scan можно найти при настройке команды Scan.
Для получения дополнительных направлений и советов по использованию просмотрите документы.
Известно, что инструменты SAST похоронит группы безопасности и разработчиков по сотням вопросов с небольшим контекстом и отсутствием чувства приоритета, часто требуя, чтобы аналитики безопасности вручную сортировали проблемы сортировки.
Наиболее уязвимым активом сегодня являются конфиденциальные данные, поэтому мы начинаем там и расставляем приоритеты результатов, оценивая конфиденциальные потоки данных, чтобы подчеркнуть, что более важно, а что нет. Эта уникальная способность позволяет нам предоставлять вам сканер конфиденциальности.
Мы считаем, что, связывая проблемы безопасности с явным влиянием на бизнес и риском нарушения данных или утечки данных, мы можем создавать лучшее и более надежное программное обеспечение без дополнительной стоимости.
Кроме того, будучи свободным и открытым, расширяемым по дизайну и построенный с помощью отличного разработчика UX, мы считаем, что вы увидите разницу для себя.
В дополнение к обнаружению недостатков безопасности в вашем коде, CLI Searer позволяет вам автоматизировать процесс сбора доказательств, необходимый для создания отчета о конфиденциальности для вашей группы по соблюдению.
Когда вы запускаете CLI -носителя в вашей кодовой базе, он обнаруживает и классифицирует данные, выявляя шаблоны в исходном коде. В частности, он ищет типы данных и совпадает с ними. Самое главное, он никогда не рассматривает фактические значения - это просто не может - но только сам код. Если вы хотите узнать больше, вот более длинное объяснение.
CLI Bearer может идентифицировать более 120+ типов данных из конфиденциальных категорий данных, таких как персональные данные (PD), конфиденциальная PD, личная информация (PII) и личная медицинская информация (PHI). Вы можете просмотреть полный список в документации «поддерживаемые типы данных».
Наконец, носитель CLI также позволяет обнаружить компоненты, хранящие и обработанные данные, такие как базы данных, внутренние API и сторонние API. Смотрите список рецептов для полного списка компонентов.
Носитель CLI в настоящее время поддерживает:
| Газету | JavaScript/TypeScript, Ruby, PHP, Java, Go, Python |
| Бета | - |
| Альфа | - |
Узнайте больше о языковой поддержке.
Это зависит от размера ваших приложений. Это может занять всего 20 секунд, до нескольких минут для чрезвычайно большой кодовой базы.
Как правило, носитель CLI никогда не должен занимать больше времени, чем запуск вашего тестового набора.
В случае интеграции CI мы предоставляем решение для сканирования Diff, чтобы сделать его еще быстрее. Узнать больше.
Если вы знакомы с инструментами SAST, ложные срабатывания всегда возможны.
Используя самые современные методы анализа статического кода и предоставляя нативную фильтрацию и определяя приоритетное решение по наиболее важным вопросам, мы считаем, что мы значительно улучшили общий опыт SAST.
Мы стремимся предоставить наилучший опыт для наших пользователей. Узнайте больше о том, как мы это достигаем.
Мы рекомендуем запустить CLI -носителя в вашем CI, чтобы автоматически проверить новые PRS на наличие проблем безопасности, поэтому ваша команда разработчиков имеет прямую петлю обратной связи, чтобы немедленно исправить проблемы.
Вы также можете интегрировать CLI -носителя в свой компакт -диск, хотя мы рекомендуем установить его для того, чтобы не считать проблемы с высокой критичностью, поскольку влияние для вашей организации может быть важным.
Кроме того, запуск CLI в качестве запланированной работы - отличный способ отслеживать вашу позицию в области безопасности и убедиться, что новые проблемы безопасности обнаружены даже в проектах с низкой активностью.
Обязательно прочитайте наше руководство по стратегии интеграции для получения дополнительной информации.
Спасибо за использование CLI. Все еще есть вопросы?
Заинтересованы в содействии? Мы здесь для этого! Для получения подробной информации о том, как внести свой вклад, настройку среды разработки и наши процессы, просмотрите руководство по взносу.
Ожидается, что каждый, кто взаимодействует с этим проектом, будут следовать руководящим принципам нашего кодекса поведения.
Чтобы сообщить об уязвимости или подозреваемой уязвимости, см. Наша политика безопасности. По любым вопросам, проблемам или другим вопросам безопасности, не стесняйтесь открывать проблему или присоединиться к сообществу Discord.
Код CLI -носителя лицензирован в соответствии с условиями Elastic License 2.0 (ELV2), что означает, что вы можете свободно использовать его внутри своей организации для защиты ваших приложений без каких -либо коммерческих требований.
Вам не разрешено предоставлять CLI -носителя третьим лицам в качестве размещенного или управляемого обслуживания без явного одобрения Bearer Inc.
