bearer
v1.47.0
การเริ่มต้น - คำถามที่พบบ่อย - เอกสาร - รายงานข้อผิดพลาด - ชุมชน Discord
ผู้ถือ CLI : ไป• Java • JavaScript • Typescript • PHP • Python • Ruby
Bearer Pro โดย Cycode : C# • Kotlin • Elixir + Everything in Bearer OSS
เรียนรู้เพิ่มเติมเกี่ยวกับภาษา Suppport
ผู้ถือ CLI สแกนซอร์สโค้ดของคุณสำหรับ:
ความเสี่ยงด้านความปลอดภัยและช่องโหว่ โดยใช้กฎในตัวที่ครอบคลุม OWASP Top 10 และ CWE Top 25 เช่น:
หมายเหตุ: กฎทั้งหมดและรูปแบบรหัสของพวกเขาสามารถเข้าถึงได้ผ่านเอกสาร
ความเสี่ยงด้านความเป็นส่วนตัว ด้วยความสามารถในการตรวจจับการไหลของข้อมูลที่ละเอียดอ่อนเช่นการใช้ PII, PHI ในแอพของคุณและการประมวลผลข้อมูลที่ละเอียดอ่อน (เช่นฐานข้อมูลเช่น PGSQL, API ของบุคคลที่สามเช่น OpenAI, Sentry ฯลฯ ) สิ่งนี้ช่วยสร้างรายงานความเป็นส่วนตัวที่เกี่ยวข้องสำหรับ:
ค้นพบความเสี่ยงด้านความปลอดภัยและช่องโหว่ที่สำคัญที่สุดของคุณในเวลาเพียงไม่กี่นาที ในคู่มือนี้คุณจะติดตั้งผู้ถือ CLI เรียกใช้การสแกนความปลอดภัยในโครงการท้องถิ่นและดูผลลัพธ์ เริ่มต้นกันเถอะ!
วิธีที่เร็วที่สุดในการติดตั้งผู้ถือ CLI คือสคริปต์การติดตั้ง มันจะเลือกงานสร้างที่ดีที่สุดสำหรับสถาปัตยกรรมของคุณโดยอัตโนมัติ การติดตั้งค่าเริ่มต้นเป็น ./bin และไปยังเวอร์ชันรุ่นล่าสุด :
curl -sfL https://raw.githubusercontent.com/Bearer/bearer/main/contrib/install.sh | shการใช้ Homebrew Homebrew อย่างเป็นทางการของ Bearer CLI:
brew install bearer/tap/bearerอัปเดตการติดตั้งที่มีอยู่ด้วยสิ่งต่อไปนี้:
brew update && brew upgrade bearer/tap/bearersudo apt-get install apt-transport-https
echo " deb [trusted=yes] https://apt.fury.io/bearer/ / " | sudo tee -a /etc/apt/sources.list.d/fury.list
sudo apt-get update
sudo apt-get install bearerอัปเดตการติดตั้งที่มีอยู่ด้วยสิ่งต่อไปนี้:
sudo apt-get update
sudo apt-get install bearerเพิ่มการตั้งค่าที่เก็บ:
$ sudo vim /etc/yum.repos.d/fury.repo
[fury]
name=Gemfury Private Repo
baseurl=https://yum.fury.io/bearer/
enabled=1
gpgcheck=0จากนั้นติดตั้งด้วย yum:
sudo yum -y update
sudo yum -y install bearerอัปเดตการติดตั้งที่มีอยู่ด้วยสิ่งต่อไปนี้:
sudo yum -y update bearerผู้ถือ CLI ยังมีอยู่ในรูปของนักเทียบท่าบน Docker Hub และ GHCR.IO
ด้วยการติดตั้ง Docker คุณสามารถเรียกใช้คำสั่งต่อไปนี้ด้วยเส้นทางที่เหมาะสมแทนตัวอย่าง
docker run --rm -v /path/to/repo:/tmp/scan bearer/bearer:latest-amd64 scan /tmp/scan นอกจากนี้คุณสามารถใช้ Docker Compose เพิ่มไฟล์ docker-compose.yml ต่อไปนี้และแทนที่ปริมาณด้วยเส้นทางที่เหมาะสมสำหรับโครงการของคุณ:
version : " 3 "
services :
bearer :
platform : linux/amd64
image : bearer/bearer:latest-amd64
volumes :
- /path/to/repo:/tmp/scan จากนั้นเรียกใช้คำสั่ง docker compose run เพื่อเรียกใช้ผู้ถือ CLI ด้วยธงใด ๆ ที่ระบุ:
docker compose run bearer scan /tmp/scan --debugการกำหนดค่า Docker ด้านบนจะใช้รุ่นล่าสุดเสมอ
ดาวน์โหลดไฟล์เก็บถาวรสำหรับระบบปฏิบัติการ/สถาปัตยกรรมของคุณจากที่นี่
แกะไฟล์เก็บถาวรและวางไบนารีไว้ที่ไหนสักแห่งในเส้นทาง $ ของคุณ (บนระบบ Unix-y/usr/local/bin หรือสิ่งที่คล้ายกัน) ตรวจสอบให้แน่ใจว่าได้รับอนุญาตให้ดำเนินการ
หากต้องการอัปเดตผู้ถือ CLI เมื่อใช้ไบนารีให้ดาวน์โหลดรุ่นล่าสุดและเขียนทับตำแหน่งการติดตั้งที่มีอยู่ของคุณ
วิธีที่ง่ายที่สุดในการลองใช้ผู้ถือ CLI คือโครงการตัวอย่างร้านขายน้ำผลไม้ OWASP มันจำลองแอปพลิเคชัน JavaScript ที่สมจริงพร้อมข้อบกพร่องด้านความปลอดภัยทั่วไป โคลนหรือดาวน์โหลดไปยังสถานที่ที่สะดวกเพื่อเริ่มต้น
git clone https://github.com/juice-shop/juice-shop.git ตอนนี้เรียกใช้คำสั่งสแกนด้วย bearer scan ในไดเรกทอรีโครงการ:
bearer scan juice-shopแถบความคืบหน้าจะแสดงสถานะของการสแกน
เมื่อการสแกนเสร็จสมบูรณ์ผู้ถือ CLI จะส่งออกโดยค่าเริ่มต้นรายงานความปลอดภัยพร้อมรายละเอียดของการค้นพบกฎใด ๆ รวมถึงที่ใน codebase การละเมิดที่เกิดขึ้นและทำไม
โดยค่าเริ่มต้นคำสั่ง scan ใช้เครื่องสแกน SAST ประเภทสแกนเนอร์อื่น ๆ จะพร้อมใช้งาน
รายงานความปลอดภัยเป็นมุมมองที่ย่อยง่ายของปัญหาความปลอดภัยที่ตรวจพบโดยผู้ถือ CLI รายงานประกอบด้วย:
แอปพลิเคชันตัวอย่างร้านขายน้ำผลไม้ OWASP จะกระตุ้นการค้นพบกฎและส่งออกรายงานฉบับเต็ม นี่คือส่วนของผลลัพธ์:
...
HIGH: Sensitive data stored in HTML local storage detected. [CWE-312]
https://docs.bearer.com/reference/rules/javascript_lang_session
To skip this rule, use the flag --skip-rule=javascript_lang_session
File: juice-shop/frontend/src/app/login/login.component.ts:102
102 localStorage.setItem('email', this.user.email)
=====================================
59 checks, 40 findings
CRITICAL: 0
HIGH: 16 (CWE-22, CWE-312, CWE-798, CWE-89)
MEDIUM: 24 (CWE-327, CWE-548, CWE-79)
LOW: 0
WARNING: 0
นอกจากรายงานความปลอดภัยคุณยังสามารถเรียกใช้รายงานความเป็นส่วนตัวได้
พร้อมสำหรับขั้นตอนต่อไปหรือยัง? ตัวเลือกเพิ่มเติมสำหรับการใช้และกำหนดค่าคำสั่ง scan สามารถพบได้ในการกำหนดค่าคำสั่งสแกน
สำหรับคำแนะนำและเคล็ดลับการใช้งานเพิ่มเติมดูเอกสาร
เครื่องมือ SAST เป็นที่รู้จักกันในการฝังทีมรักษาความปลอดภัยและนักพัฒนาภายใต้ปัญหาหลายร้อยปัญหาที่มีบริบทน้อยและไม่มีความสำคัญซึ่งมักจะต้องให้นักวิเคราะห์ความปลอดภัยต้องทดลองปัญหาด้วยตนเอง
สินทรัพย์ที่อ่อนแอที่สุดในปัจจุบันคือข้อมูลที่ละเอียดอ่อนดังนั้นเราจึงเริ่มต้นและจัดลำดับความสำคัญของการค้นพบโดยการประเมินการไหลของข้อมูลที่ละเอียดอ่อนเพื่อเน้นสิ่งที่สำคัญกว่าและสิ่งที่ไม่ได้ ความสามารถพิเศษนี้ช่วยให้เราสามารถให้เครื่องสแกนความเป็นส่วนตัวแก่คุณได้เช่นกัน
เราเชื่อว่าด้วยการเชื่อมโยงปัญหาด้านความปลอดภัยกับผลกระทบทางธุรกิจที่ชัดเจนและความเสี่ยงของการละเมิดข้อมูลหรือการรั่วไหลของข้อมูลเราสามารถสร้างซอฟต์แวร์ที่ดีขึ้นและมีประสิทธิภาพมากขึ้นโดยไม่มีค่าใช้จ่ายเพิ่มเติม
นอกจากนี้ด้วยการเป็นอิสระและเปิดกว้างโดยการออกแบบและสร้างขึ้นด้วย UX นักพัฒนาที่ยอดเยี่ยมในใจเราพนันได้เลยว่าคุณจะเห็นความแตกต่างสำหรับตัวคุณเอง
นอกเหนือจากการตรวจจับข้อบกพร่องด้านความปลอดภัยในรหัสของคุณผู้ถือ CLI ช่วยให้คุณสามารถทำให้กระบวนการรวบรวมหลักฐานที่จำเป็นในการสร้างรายงานความเป็นส่วนตัวสำหรับทีมปฏิบัติตามกฎระเบียบของคุณโดยอัตโนมัติ
เมื่อคุณเรียกใช้ผู้ถือ CLI บน codebase ของคุณจะค้นพบและจำแนกข้อมูลโดยการระบุรูปแบบในซอร์สโค้ด โดยเฉพาะมันจะมองหาชนิดข้อมูลและจับคู่กับพวกเขา สิ่งสำคัญที่สุดคือมันไม่เคยดูค่าที่แท้จริง - มันไม่สามารถ - แต่มีเพียงรหัสเท่านั้น หากคุณต้องการเรียนรู้เพิ่มเติมนี่คือคำอธิบายที่ยาวขึ้น
ผู้ถือ CLI สามารถระบุประเภทข้อมูลมากกว่า 120 ชนิดจากหมวดหมู่ข้อมูลที่ละเอียดอ่อนเช่นข้อมูลส่วนบุคคล (PD), PD ที่ละเอียดอ่อน, ข้อมูลที่สามารถระบุตัวบุคคล (PII) และข้อมูลสุขภาพส่วนบุคคล (PHI) คุณสามารถดูรายการทั้งหมดในเอกสารประเภทข้อมูลที่รองรับ
ในที่สุดผู้ถือ CLI ยังช่วยให้คุณตรวจจับส่วนประกอบการจัดเก็บและประมวลผลข้อมูลที่ละเอียดอ่อนเช่นฐานข้อมูล API ภายในและ API ของบุคคลที่สาม ดูรายการสูตรสำหรับรายการส่วนประกอบที่สมบูรณ์
ปัจจุบันผู้ถือ CLI รองรับ:
| GA | JavaScript/typeScript, Ruby, PHP, Java, GO, Python |
| เบต้า | - |
| อัลฟ่า | - |
เรียนรู้เพิ่มเติมเกี่ยวกับการสนับสนุนภาษา
ขึ้นอยู่กับขนาดของแอปพลิเคชันของคุณ อาจใช้เวลาเพียง 20 วินาทีถึงไม่กี่นาทีสำหรับฐานรหัสที่มีขนาดใหญ่มาก
ตามกฎของหัวแม่มือผู้ถือ CLI ไม่ควรใช้เวลามากกว่าการใช้ชุดทดสอบของคุณ
ในกรณีของการรวม CI เราให้บริการโซลูชันการสแกน DIFF เพื่อให้เร็วขึ้น เรียนรู้เพิ่มเติม
หากคุณคุ้นเคยกับเครื่องมือ SAST บวกเท็จมักเป็นไปได้
ด้วยการใช้เทคนิคการวิเคราะห์รหัสสแตติกที่ทันสมัยที่สุดและให้การกรองพื้นเมืองและการจัดลำดับความสำคัญของโซลูชันในประเด็นที่สำคัญที่สุดเราเชื่อว่าเราได้ปรับปรุงประสบการณ์ SAST โดยรวมอย่างมาก
เรามุ่งมั่นที่จะมอบประสบการณ์ที่ดีที่สุดให้กับผู้ใช้ของเรา เรียนรู้เพิ่มเติมเกี่ยวกับวิธีที่เราบรรลุเป้าหมายนี้
เราขอแนะนำให้ใช้งานผู้ถือ CLI ใน CI ของคุณเพื่อตรวจสอบ PRS ใหม่โดยอัตโนมัติสำหรับปัญหาด้านความปลอดภัยดังนั้นทีมพัฒนาของคุณจึงมีลูปตอบรับโดยตรงเพื่อแก้ไขปัญหาทันที
นอกจากนี้คุณยังสามารถรวมผู้ถือ CLI ในซีดีของคุณแม้ว่าเราจะแนะนำให้ตั้งค่าให้ล้มเหลวในประเด็นสำคัญอย่างยิ่งเนื่องจากผลกระทบสำหรับองค์กรของคุณอาจมีความสำคัญ
นอกจากนี้ Running Bearer CLI เป็นงานที่กำหนดเป็นวิธีที่ดีในการติดตามท่าทางความปลอดภัยของคุณและตรวจสอบให้แน่ใจว่าพบปัญหาความปลอดภัยใหม่แม้ในโครงการที่มีกิจกรรมต่ำ
ตรวจสอบให้แน่ใจว่าได้อ่านคู่มือกลยุทธ์การรวมของเราสำหรับข้อมูลเพิ่มเติม
ขอบคุณที่ใช้ผู้ถือ CLI ยังมีคำถาม?
สนใจที่จะบริจาค? เราอยู่ที่นี่เพื่อมัน! สำหรับรายละเอียดเกี่ยวกับวิธีการมีส่วนร่วมการตั้งค่าสภาพแวดล้อมการพัฒนาของคุณและกระบวนการของเราตรวจสอบคู่มือการบริจาค
ทุกคนที่มีปฏิสัมพันธ์กับโครงการนี้คาดว่าจะปฏิบัติตามแนวทางของจรรยาบรรณของเรา
ในการรายงานช่องโหว่หรือช่องโหว่ที่สงสัยว่าดูนโยบายความปลอดภัยของเรา สำหรับคำถามใด ๆ ข้อสงสัยหรือเรื่องความปลอดภัยอื่น ๆ อย่าลังเลที่จะเปิดปัญหาหรือเข้าร่วมชุมชน Discord
รหัสผู้ถือ CLI ได้รับใบอนุญาตภายใต้เงื่อนไขของใบอนุญาตยืดหยุ่น 2.0 (ELV2) ซึ่งหมายความว่าคุณสามารถใช้งานได้อย่างอิสระภายในองค์กรของคุณเพื่อปกป้องแอปพลิเคชันของคุณโดยไม่มีข้อกำหนดเชิงพาณิชย์ใด ๆ
คุณไม่ได้รับอนุญาตให้จัดหาผู้ถือ CLI ให้กับบุคคลที่สามในฐานะบริการโฮสต์หรือจัดการโดยไม่ได้รับการอนุมัติอย่างชัดเจนของ Bearer Inc.
