Tutoriales

Herramienta de escaneo de seguridad de código (SAST)

portador es una herramienta de escaneo de seguridad de código (SAST) para descubrir, filtrar y priorizar los riesgos de seguridad y privacidad.

Bearer CLI es una herramienta de prueba de seguridad de aplicaciones estáticas (SAST) que escanea el código fuente y analiza los flujos de datos para descubrir, filtrar y priorizar los riesgos de seguridad y privacidad.

actualmente soportado JavaScript, mecanografiado y rubí pila.
???? Java El soporte está en desarrollo activo.

Bearer CLI proporciona reglas integradas para un conjunto común de riesgos y vulnerabilidades de seguridad llamados Top 10 de OWASPy riesgos de privacidad. Aquí hay algunos ejemplos prácticos de estas reglas:

  • Entrada de usuario sin filtrar (inyección de sql, recorrido de ruta, etc.)
  • Fuga de datos confidenciales a través de cookies, registradores internos, servicios de registro de terceros y en entornos analíticos.
  • Uso de bibliotecas criptográficas débiles o mal uso de algoritmos criptográficos.
  • Comunicación entrante y saliente sin cifrar (HTTP, FTP, SMTP) de datos confidenciales.
  • Secretos y tokens codificados.

Hay mucho más más.

Bearer CLI es de código abierto (ver licencia) y totalmente personalizable, desde la creación de sus propias reglas hasta la detección de componentes (base de datos, API) y clasificación de datos.

Bearer CLI también brinda soporte para nuestro producto comercial, Nube portadoralo que permite a los equipos de seguridad escalar y monitorear sus programas de seguridad de aplicaciones utilizando el mismo motor.

empezando

Encuentre los riesgos y vulnerabilidades de seguridad más críticos en minutos. En esta guía, instalará Bearer CLI, ejecutará un análisis de seguridad de su proyecto local y revisará los resultados. ¡Empecemos!

Instalar CLI de alojamiento

La forma más rápida de instalar Bearer CLI es usar el script de instalación. Elegirá automáticamente la mejor compilación para su arquitectura. Instalado por defecto como ./bin y a la última versión de lanzamiento:

curl -sfL  | sh

otras opciones de montaje

Archivos binarios Homebrew Debian/Ubuntu RHEL/CentOS Docker

escanea tu artículo

La forma más fácil de probar Bearer CLI es usar OWASP tienda de jugos Proyecto de ejemplo. Simula aplicaciones de JavaScript del mundo real con fallas de seguridad comunes. Clónelo o descárguelo a una ubicación conveniente para comenzar.

git clone 

Ahora, ejecute el comando de escaneo bearer scan En el directorio del proyecto:

bearer scan juice-shop

Una barra de progreso mostrará el estado de la exploración.

Una vez que se completa el escaneo, Bearer CLI generará, de manera predeterminada, un informe de seguridad con detalles de los hallazgos de cualquier regla, así como también en qué parte del código base ocurrió la violación y por qué.

por defecto scan comando para usar el escáner SAST, otro tipo de escáner disponible.

reporte de análisis

El informe de seguridad es una vista fácil de entender de los problemas de seguridad detectados por Bearer CLI. El informe consta de las siguientes secciones:

  • lista regla Ejecutar contra su código.
  • Para cada hallazgo detectado, contiene la ubicación del archivo y la línea que activó la búsqueda de la regla.
  • La sección Estadísticas contiene un resumen de las comprobaciones de reglas, los resultados y las advertencias.

este Tienda de jugos OWASP La aplicación de muestra activará el descubrimiento de reglas y generará un informe completo. Aquí hay parte de la salida:

...
HIGH: Sensitive data stored in HTML local storage detected. [CWE-312]

To skip this rule, use the flag --skip-rule=javascript_lang_session

File: juice-shop/frontend/src/app/login/login.component.ts:102

 102       localStorage.setItem('email', this.user.email)


=====================================

59 checks, 40 findings

CRITICAL: 0
HIGH: 16 (CWE-22, CWE-312, CWE-798, CWE-89)
MEDIUM: 24 (CWE-327, CWE-548, CWE-79)
LOW: 0
WARNING: 0

Además de los informes de seguridad, también puede ejecutar Reporte de privacidad.

¿Listo para el siguiente paso?Opciones adicionales de uso y configuración scan Los comandos se pueden encontrar en Configurar comandos de escaneo.

Para obtener más guías y consejos de uso, ver documento.

Preguntas frecuentes

¿En qué se diferencia Bearer CLI de cualquier otra herramienta SAST?

Se sabe que las herramientas SAST inundan a los equipos de seguridad y a los desarrolladores con cientos de problemas que carecen de contexto y no tienen un sentido de prioridad, lo que a menudo requiere que los analistas de seguridad clasifiquen los problemas manualmente.

El activo más vulnerable de hoy son los datos confidenciales, así que comenzamos aquí prioridad Saque conclusiones evaluando flujos de datos confidenciales para resaltar qué es más importante y qué no. Esta capacidad única también nos permite proporcionarle un escáner de privacidad.

Creemos que al vincular las preocupaciones de seguridad con el impacto comercial obvio y el riesgo de una violación de datos o una violación de datos, podemos crear un software mejor y más sólido sin costo adicional.

Además, con un código fuente abierto, un diseño extensible y creado pensando en una excelente experiencia de usuario para desarrolladores, apostamos a que verá la diferencia por sí mismo.

¿Qué es un escáner de privacidad?

Además de detectar fallas de seguridad en su código, Bearer CLI le permite automatizar el proceso de recopilación de evidencia necesario para generar informes de privacidad para sus equipos de cumplimiento.

Cuando ejecuta Bearer CLI en su base de código, descubre y categoriza datos al identificar patrones en su código fuente. Específicamente, busca tipos de datos y los compara con ellos. Lo más importante es que nunca mira el valor real (simplemente no puede), solo el código en sí.Si quieres saber más, aquí tienes explicación más larga.

Bearer CLI reconoce más de 120 tipos de datos en categorías de datos confidenciales, como datos personales (PD), PD confidencial, información de identificación personal (PII) e información de salud personal (PHI).Puedes ver la lista completa en Documentación de tipos de datos admitidos.

Finalmente, Bearer CLI también le permite instrumentar componentes que almacenan y procesan datos confidenciales, como bases de datos, API internas y API de terceros.ver lista de recetas Obtenga una lista completa de componentes.

ayuda de idioma

Bearer CLI actualmente es compatible con JavaScript, TypeScript y Ruby y sus marcos y bibliotecas asociados más utilizados. El soporte de Java está en desarrollo activo, con más idiomas a seguir.

¿Cuánto tiempo se tarda en escanear mi código? ¿rápido?

Depende del tamaño de su aplicación. Para bases de código muy grandes, puede tardar desde 20 segundos hasta unos minutos. Agregamos una capa de almacenamiento en caché interno que solo analiza los cambios incrementales para permitir escaneos posteriores rápidos.

Ejecutar Bearer CLI no debería llevar más tiempo que ejecutar el conjunto de pruebas.

¿Qué pasa con los falsos positivos?

Los falsos positivos siempre son una posibilidad si está familiarizado con las herramientas SAST.

Al utilizar las técnicas de análisis de código estático más modernas y proporcionar soluciones nativas de filtrado y priorización para los problemas más importantes, creemos que este problema no surge cuando se utiliza la CLI de Bearer.

¿Cuándo y dónde usar la CLI de Bearer?

Recomendamos ejecutar Bearer CLI en su CI para verificar automáticamente los nuevos PR en busca de problemas de seguridad para que su equipo de desarrollo tenga un circuito de retroalimentación directo para solucionar los problemas de inmediato.

También puede integrar Bearer CLI en su CD, pero recomendamos configurarlo para que falle solo en problemas de alta criticidad, ya que el impacto en su organización puede ser significativo.

Además, ejecutar Bearer CLI como un trabajo programado es una excelente manera de realizar un seguimiento de su postura de seguridad y garantizar que se descubran nuevos problemas de seguridad incluso en proyectos menos activos.

mantenerse en contacto

Gracias por usar la CLI de Bearer. ¿Todavía tienes preguntas?

contribuir

¿Interesado en contribuir? ¡Para eso estamos aquí!Para obtener detalles sobre cómo contribuir, configurar un entorno de desarrollo y nuestro proceso, consulte Pautas de contribución.

Código de conducta

Todos los que interactúan con este proyecto deben seguir nuestras pautas. Código de conducta.

Seguridad

Para reportar un error o sospecha de error, Ver nuestra política de seguridad.Si tiene alguna pregunta, inquietud u otro problema de seguridad, no dude en comunicarse con abrir un problema o unirse comunidad de discordia.

licencia

El código Bearer CLI tiene licencia bajo los siguientes términos Licencia elástica 2.0 (ELv2), lo que significa que puede usarlo libremente dentro de su organización para proteger sus aplicaciones sin ningún requisito comercial.

No puede proporcionar la CLI de Bearer como alojamiento o servicio de alojamiento a terceros sin la aprobación expresa de Bearer Inc.

por favor considera atención y apoyo Siempre estamos actualizados

LEER  Nuevas funciones de integración de Active Directory en Ubuntu 22.04 (parte 2): objetos de directiva de grupo

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba