bearer下載 - bearer源代碼下載

bearer

其他類別

v1.47.0

下載

根據最高安全性和隱私風險掃描源代碼。

載體是一種靜態應用程序安全測試（SAST）工具，旨在掃描您的源代碼並分析數據流以識別，過濾和優先考慮安全性和隱私風險。

攜帶者提供了免費的，開放式解決方案，攜帶者CLI和一個商業解決方案，Bearer Pro，可通過Cycode獲得。

入門-FAQ-文檔 - 報告錯誤 - 不和諧社區

語言支持

承載CLI ：GO•Java•JavaScript•打字稿•PHP•Python•Ruby
Cycode的Bearer Pro ：C＃•Kotlin•Elixir + Bearer Oss中的所有內容

了解有關語言支持的更多信息

開發人員友好的靜態代碼分析安全和隱私

BEARER-CLI-OVERVIEW-CC.MP4

承載者CLI掃描您的源代碼：

使用內置規則涵蓋OWASP前10和CWE的安全風險和漏洞，例如：
- A01：訪問控制（例如路徑遍歷，開放重定向，敏感信息的暴露）。
- A02：加密故障（例如弱算法，不安全的通信）。
- A03：注入（例如SQL注入，輸入驗證，XSS，XPATH）。
- A04：設計（例如缺少敏感數據的加密，包含敏感信息的持續性cookie）。
- A05：安全性錯誤配置（例如，在cookie或jwt中存儲敏感信息的清晰文本）。
- A07：識別和身份驗證故障（例如使用硬編碼密碼，證書驗證不正確）。
- A08：數據完整性故障（例如，不受信任數據的應對化）。
- A09：安全記錄和監視故障（例如將敏感信息插入日誌文件中）。
- A10：服務器端請求偽造（SSRF）。
注意：所有規則及其代碼模式都可以通過文檔訪問。
具有檢測敏感數據流的能力的隱私風險，例如在應用程序中使用PII，PHI以及處理敏感數據的組件（例如PGSQL，例如PGSQL，第三方API，例如OpenAI，Sentry等）。這有助於生成一份有關：
- 隱私影響評估（PIA）。
- 數據保護影響評估（DPIA）。
- GDPR合規性報告的處理活動記錄（ROPA）輸入。

入門

在短短幾分鐘內發現您最關鍵的安全風險和漏洞。在本指南中，您將安裝Bearer CLI，對本地項目進行安全掃描，並查看結果。讓我們開始吧！

安裝持有人CLI

安裝Bearer CLI的最快方法是安裝腳本。它將自動選擇您的體系結構的最佳構建。默認安裝到./bin和最新版本版本：

curl -sfL https://raw.githubusercontent.com/Bearer/bearer/main/contrib/install.sh | sh

其他安裝選項

自製

使用Bearer CLI的官方自製水龍頭：

brew install bearer/tap/bearer

更新現有的安裝以下：

brew update && brew upgrade bearer/tap/bearer

Debian/Ubuntu

sudo apt-get install apt-transport-https
echo " deb [trusted=yes] https://apt.fury.io/bearer/ / " | sudo tee -a /etc/apt/sources.list.d/fury.list
sudo apt-get update
sudo apt-get install bearer

更新現有的安裝以下：

sudo apt-get update
sudo apt-get install bearer

Rhel/Centos

添加存儲庫設置：

$ sudo vim /etc/yum.repos.d/fury.repo
[fury]
name=Gemfury Private Repo
baseurl=https://yum.fury.io/bearer/
enabled=1
gpgcheck=0

然後與百勝安裝：

  sudo yum -y update
  sudo yum -y install bearer

更新現有的安裝以下：

sudo yum -y update bearer

Docker

Bearer CLI也可以作為Docker Hub和Ghcr.io的Docker Image提供。

安裝了Docker，您可以使用適當的路徑來運行以下命令代替示例。

docker run --rm -v /path/to/repo:/tmp/scan bearer/bearer:latest-amd64 scan /tmp/scan

此外，您可以使用Docker組成。將以下內容添加到您的docker-compose.yml文件中，然後用適合您的項目的途徑替換卷：

 version : " 3 "
services :
  bearer :
    platform : linux/amd64
    image : bearer/bearer:latest-amd64
    volumes :
      - /path/to/repo:/tmp/scan

然後，運行docker compose run命令以使用任何指定的標誌運行Bearer CLI：

docker compose run bearer scan /tmp/scan --debug

上面的Docker配置將始終使用最新版本。

二進制

從此處下載操作系統/架構的存檔文件。

解開存檔的包裝，然後將二進製文件放在您的$路徑中（在Unix-y系統，/usr/local/bin等上）。確保它有權執行。

要在使用二進製文件時更新Bearer CLI，請下載最新版本並覆蓋您現有的安裝位置。

掃描您的項目

嘗試攜帶者CLI的最簡單方法是Owasp Juice Shop示例項目。它模擬了具有常見安全缺陷的現實JavaScript應用程序。克隆或下載到方便的位置以開始。

git clone https://github.com/juice-shop/juice-shop.git

現在，在項目目錄上使用bearer scan運行掃描命令：

bearer scan juice-shop

進度條將顯示掃描的狀態。

掃描完成後，默認情況下，承載CLI將輸出一個安全報告，其中包含任何規則調查結果的詳細信息，以及在代碼庫中違規的何處以及原因。

默認情況下， scan命令使用SAST掃描儀，其他掃描儀類型可用。

分析報告

安全報告是對持有人CLI檢測到的安全問題的易於消化的視圖。報告的組成：

規則列表違反您的代碼。
每個檢測的發現，包含觸發規則查找的文件位置和行。
一個統計部分，其中包含規則檢查，調查結果和警告。

OWASP JUICE SHOP示例應用程序將觸發規則發現並輸出完整的報告。這是輸出的一部分：

 ...
HIGH: Sensitive data stored in HTML local storage detected. [CWE-312]
https://docs.bearer.com/reference/rules/javascript_lang_session
To skip this rule, use the flag --skip-rule=javascript_lang_session

File: juice-shop/frontend/src/app/login/login.component.ts:102

 102       localStorage.setItem('email', this.user.email)


=====================================

59 checks, 40 findings

CRITICAL: 0
HIGH: 16 (CWE-22, CWE-312, CWE-798, CWE-89)
MEDIUM: 24 (CWE-327, CWE-548, CWE-79)
LOW: 0
WARNING: 0

除了安全報告外，您還可以運行隱私報告。

準備下一步了嗎？在配置scan命令時，可以找到使用和配置掃描命令的其他選項。

有關更多指南和用法提示，請查看文檔。