bearer

---

根据最高安全性和隐私风险扫描源代码。

载体是一种静态应用程序安全测试（SAST）工具，旨在扫描您的源代码并分析数据流以识别，过滤和优先考虑安全性和隐私风险。

携带者提供了免费的，开放式解决方案，携带者CLI和一个商业解决方案，Bearer Pro，可通过Cycode获得。

入门-FAQ-文档 - 报告错误 - 不和谐社区

承载CLI ：GO•Java•JavaScript•打字稿•PHP•Python•Ruby
Cycode的Bearer Pro ：C＃•Kotlin•Elixir + Bearer Oss中的所有内容

了解有关语言支持的更多信息

承载者CLI扫描您的源代码：

• 使用内置规则涵盖OWASP前10和CWE的安全风险和漏洞，例如：

  • A01：访问控制（例如路径遍历，开放重定向，敏感信息的暴露）。
  • A02：加密故障（例如弱算法，不安全的通信）。
  • A03：注入（例如SQL注入，输入验证，XSS，XPATH）。
  • A04：设计（例如缺少敏感数据的加密，包含敏感信息的持续性cookie）。
  • A05：安全性错误配置（例如，在cookie或jwt中存储敏感信息的清晰文本）。
  • A07：识别和身份验证故障（例如使用硬编码密码，证书验证不正确）。
  • A08：数据完整性故障（例如，不受信任数据的应对化）。
  • A09：安全记录和监视故障（例如将敏感信息插入日志文件中）。
  • A10：服务器端请求伪造（SSRF）。

  注意：所有规则及其代码模式都可以通过文档访问。

• 具有检测敏感数据流的能力的隐私风险，例如在应用程序中使用PII，PHI以及处理敏感数据的组件（例如PGSQL，例如PGSQL，第三方API，例如OpenAI，Sentry等）。这有助于生成一份有关：

  • 隐私影响评估（PIA）。
  • 数据保护影响评估（DPIA）。
  • GDPR合规性报告的处理活动记录（ROPA）输入。

在短短几分钟内发现您最关键的安全风险和漏洞。在本指南中，您将安装Bearer CLI，对本地项目进行安全扫描，并查看结果。让我们开始吧！

安装Bearer CLI的最快方法是安装脚本。它将自动选择您的体系结构的最佳构建。默认安装到./bin和最新版本版本：

curl -sfL https://raw.githubusercontent.com/Bearer/bearer/main/contrib/install.sh | sh

brew install bearer/tap/bearer

brew update && brew upgrade bearer/tap/bearer

sudo apt-get install apt-transport-https
echo " deb [trusted=yes] https://apt.fury.io/bearer/ / " | sudo tee -a /etc/apt/sources.list.d/fury.list
sudo apt-get update
sudo apt-get install bearer

sudo apt-get update
sudo apt-get install bearer

$ sudo vim /etc/yum.repos.d/fury.repo
[fury]
name=Gemfury Private Repo
baseurl=https://yum.fury.io/bearer/
enabled=1
gpgcheck=0

  sudo yum -y update
  sudo yum -y install bearer

sudo yum -y update bearer

docker run --rm -v /path/to/repo:/tmp/scan bearer/bearer:latest-amd64 scan /tmp/scan

 version : " 3 "
services :
  bearer :
    platform : linux/amd64
    image : bearer/bearer:latest-amd64
    volumes :
      - /path/to/repo:/tmp/scan

docker compose run bearer scan /tmp/scan --debug

尝试携带者CLI的最简单方法是Owasp Juice Shop示例项目。它模拟了具有常见安全缺陷的现实JavaScript应用程序。克隆或下载到方便的位置以开始。

git clone https://github.com/juice-shop/juice-shop.git

现在，在项目目录上使用bearer scan运行扫描命令：

bearer scan juice-shop

进度条将显示扫描的状态。

扫描完成后，默认情况下，承载CLI将输出一个安全报告，其中包含任何规则调查结果的详细信息，以及在代码库中违规的何处以及原因。

默认情况下， scan命令使用SAST扫描仪，其他扫描仪类型可用。

安全报告是对持有人CLI检测到的安全问题的易于消化的视图。报告的组成：

• 规则列表违反您的代码。
• 每个检测的发现，包含触发规则查找的文件位置和行。
• 一个统计部分，其中包含规则检查，调查结果和警告。

OWASP JUICE SHOP示例应用程序将触发规则发现并输出完整的报告。这是输出的一部分：

 ...
HIGH: Sensitive data stored in HTML local storage detected. [CWE-312]
https://docs.bearer.com/reference/rules/javascript_lang_session
To skip this rule, use the flag --skip-rule=javascript_lang_session

File: juice-shop/frontend/src/app/login/login.component.ts:102

 102       localStorage.setItem('email', this.user.email)


=====================================

59 checks, 40 findings

CRITICAL: 0
HIGH: 16 (CWE-22, CWE-312, CWE-798, CWE-89)
MEDIUM: 24 (CWE-327, CWE-548, CWE-79)
LOW: 0
WARNING: 0

除了安全报告外，您还可以运行隐私报告。

准备下一步了吗？在配置scan命令时，可以找到使用和配置扫描命令的其他选项。

有关更多指南和用法提示，请查看文档。

已知SAST工具是将安全团队和开发人员埋在数百个问题下的情况下，没有优先级的感觉，通常需要安全分析师手动分类问题。

当今最脆弱的资产是敏感数据，因此我们通过评估敏感数据流以突出显示更关键的内容，什么不是，我们从那里开始并确定发现的优先级。这种独特的能力也使我们也可以为您提供隐私扫描仪。

我们认为，通过将安全问题与明确的业务影响和数据泄露或数据泄漏的风险联系起来，我们可以不需要额外的费用来构建更好，更强大的软件。

此外，通过自由和开放，可以通过设计扩展，并在考虑出色的开发人员UX方面构建，我们敢打赌，您会看到自己的区别。

除了检测代码中的安全漏洞外，Bearer CLI使您可以自动化为合规团队生成隐私报告所需的证据收集过程。

当您在代码库上运行Bearer CLI时，它会通过识别源代码中的模式来发现和分类数据。具体来说，它寻找与它们相比的数据类型和匹配。最重要的是，它永远不会查看实际值 - 只是不能 - 仅仅是代码本身。如果您想了解更多信息，这是更长的解释。

Bearer CLI能够从敏感数据类别（例如个人数据（PD），敏感PD，个人身份信息（PII）和个人健康信息（PHI）等敏感数据类别中识别超过120多个数据类型。您可以在受支持的数据类型文档中查看完整列表。

最后，Bearer CLI还可以使您检测存储和处理敏感数据的组件，例如数据库，内部API和第三方API。有关组件的完整列表，请参见食谱列表。

Bearer CLI目前支持：

了解有关语言支持的更多信息。

这取决于您的应用程序的大小。对于极大的代码库，最多需要20秒钟，最多需要几分钟。

根据经验，承载CLI绝不应该花更多的时间来运行您的测试套件。

在CI集成的情况下，我们提供了一个差异扫描解决方案，以使其更快。了解更多。

如果您熟悉SAST工具，则误报始终是可能的。

通过使用最现代的静态代码分析技术，并在最重要的问题上提供本地过滤并确定解决方案的优先级解决方案，我们相信我们已经显着改善了整体SAST体验。

我们努力为用户提供最佳的体验。了解有关我们如何实现这一目标的更多信息。

我们建议您在您的CI中运行Bearer CLI，以自动检查新PR，以了解安全问题，因此您的开发团队有一个直接的反馈循环来立即解决问题。

您也可以将Bearer CLI集成在CD中，尽管我们建议将其设置为仅在高关键问题上失败，因为对您的组织的影响可能很重要。

此外，运行承载CLI作为计划的工作是跟踪您的安全姿势并确保即使在活动较低的项目中也发现新的安全问题的好方法。

确保阅读我们的集成策略指南以获取更多信息。

感谢您使用CLI。还有问题吗？

• 从文档开始。
• 有问题还是需要一些帮助？在不和谐的情况下找到持票人团队。
• 收到功能请求还是找到错误？打开一个新问题。
• 找到了安全问题？查看我们的安全策略以报告详细信息。
• 在Bearer.com上了解更多信息

有兴趣贡献吗？我们在这里！有关如何贡献，建立开发环境以及我们的流程的详细信息，请审查贡献指南。

与该项目互动的每个人都将遵循我们行为准则的指南。

要报告漏洞或可疑漏洞，请参阅我们的安全政策。出于任何疑问，问题或其他安全事务，请随时打开问题或加入Discord社区。

承载CLI代码是根据弹性许可证2.0（ELV2）的条款获得许可的，这意味着您可以在组织内部自由使用它来保护您的应用程序而无需任何商业要求。

未经Bearer Inc.的明确批准，您不允许您作为托管或托管服务向第三方提供持票人CLI。