Το BRAKEMAN είναι ένα εργαλείο ανάλυσης στατικού κώδικα ανοιχτού κώδικα για να ελέγξετε τις εφαρμογές Ruby on Rails για ευπάθειες ασφαλείας.

Brakeman Δωρεάν λογισμικό ασφαλείας

Ruby βασισμένη στη στατική ανάλυση Securnability Scanner Scanner

Ο Brakeman είναι μια ελεύθερη ανάλυση κώδικα και σαρωτής ευπάθειας ασφαλείας για τις εφαρμογές Ruby on Rails. Βρίσκει ζητήματα στον κώδικα προτού να εκμεταλλευτούν.

ΣΦΑΙΡΙΚΗ ΕΙΚΟΝΑ

Το BRAKEMAN είναι ένα εργαλείο ανάλυσης στατικού κώδικα ανοιχτού κώδικα για να ελέγξετε τις εφαρμογές Ruby on Rails για ευπάθειες ασφαλείας. Έρχεται ως έργο ανοιχτού κώδικα με προαιρετική εμπορική υποστήριξη για ανίχνευση ευπάθειας σε εφαρμογές Rails. Το εργαλείο STATIC ανάλυσης Brakeman STATIC SCANS για γνωστά ανασφαλικά πρότυπα και διαμορφώσεις στον πηγαίο σας κώδικα πριν ο κώδικας φτάσει στην παραγωγή. Είναι ο πιο ολοκληρωμένος σαρωτής ασφαλείας που παρέχει μια εύκολη ανάγνωση αναφορά αξιολόγησης ευπάθειας και οι εκθέσεις μπορούν να δημιουργηθούν κατά την κατασκευή ή την ανάπτυξη μιας εφαρμογής σε περιβάλλοντα sandbox ή περιβάλλοντα παραγωγής. Ο Brakeman μπορεί επίσης να χρησιμοποιηθεί για το Sinatra και οποιοδήποτε άλλο είδος εφαρμογής rack για να βρείτε θέματα ασφαλείας. Το εργαλείο ασφαλείας του στατικού κώδικα Brakeman διαχωρίζει ζητήματα σε διαφορετικά υψηλά, μεσαία και αδύναμα επίπεδα. Σαρώνει όλα τα αρχεία σε πηγαίο κώδικα μιας εφαρμογής για να βρείτε πιθανές ευπάθειες ασφαλείας σε οποιοδήποτε στάδιο ανάπτυξης. Κάθε φορά που οι νέες αλλαγές κώδικα δεσμεύονται στο αποθετήριο κώδικα, ο σαρωτής πηγαίου κώδικα Brakeman τρέχει για να ελέγξει τα τρωτά σημεία ασφαλείας πραγματοποιώντας μια στατική ανάλυση του κώδικα. Αυτό το εργαλείο θα πιάσει πολλά γνωστά τρωτά σημεία, όπως έγχυση SQL, έγχυση εντολών, σενάρια διασταυρούμενης τοποθεσίας και πολλά άλλα. Το Brakeman είναι ένα εργαλείο ανάλυσης πηγαίου κώδικα ανοιχτού κώδικα με αστέρια Github 6.1k και 652 Forks Github.

Απαιτήσεις συστήματος

Απαιτούνται τα ακόλουθα βασικά πακέτα εξάρτησης για την εγκατάσταση λογισμικού στατικής ανάλυσης Brakeman:

  • Ruby: 2.3.0
  • Rails: 2.3.x ή παραπάνω
  • Bundler
  • Επεξεργαστής ρουμπυμίνης
  • Git

Χαρακτηριστικά

Μερικά από τα μεγάλα χαρακτηριστικά του εργαλείου ανάλυσης στατικού κώδικα Brakeman παρατίθενται παρακάτω:

  • Διεπαφή γραμμής εντολών
  • Γρήγοροι σαρώσεις πηγαίου κώδικα
  • Απαιτείται μηδενική διαμόρφωση
  • Ασφάλεια σαρώνει σε οποιοδήποτε σημείο
  • Ανάλυση ροής δεδομένων Rails
  • Ανιχνεύει 20+ τύπους ευπάθειας
  • Αναφορές JSON
  • Ψευδής θετική διαχείριση
  • Ανοιχτή πηγή

Εγκατάσταση

Εγκαταστήστε το brakeman στο ubuntu

Ο σαρωτής πηγαίου κώδικα Brakeman είναι απλός και εύκολος να ξεκινήσετε το λογισμικό. Το εργαλείο σάρωσης πηγαίου κώδικα Brakeman μπορεί να εγκατασταθεί ως Ruby Gem ή μέσω Docker. Εκτελέστε τα παρακάτω χρησιμοποιώντας το RubyGems στον κατάλογο έργων:

    gem install brakeman

Εάν θέλετε να εγκαταστήσετε χρησιμοποιώντας το Bundler, προσθέστε τα παρακάτω στο Gemfile ή GEMS.RB:

    gem "brakeman"

Στη συνέχεια, εκτελέστε το Bundler για να εγκαταστήσετε πολύτιμους λίθους:

    bundle install

Εκτέλεση λογισμικού στατικής ανάλυσης Brakeman από τη ρίζα του ruby ​​on rails:

    cd path/to/your/app
    brakeman 

Για να φέρετε την τελευταία κατασκευή της ανάλυσης στατικού κώδικα Brakeman χρησιμοποιώντας το Docker Run παρακάτω:

    docker pull presidentbeef/brakeman

Τώρα εκτελέστε την ασφάλεια στατικής ανάλυσης Brakeman από τη ρίζα του ruby ​​on rails:

    cd path/to/your/app
    docker run -v "$(pwd)":/code brakeman --color

Για την κατασκευή από την πηγή θα χρειαστείτε εγκατεστημένα Git, Ruby και Rubygems.

    git clone https://github.com/presidentbeef/brakeman.git
    cd brakeman
    gem build brakeman.gemspec
    gem install brakeman-*.gem

Υπάρχουν κάποιοι έλεγχοι σάρωσης που δεν εκτελούνται από προεπιλογή. Εκτελέστε παρακάτω για να εκτελέσετε όλους τους ελέγχους:

    brakeman -A

Το Brakeman Open Source Scan εκτελείται ως εργαλείο γραμμής εντολών και χρειάζεται τον ριζικό κατάλογο της εφαρμογής Ruby on Rails για να ξεκινήσετε και να σαρώσετε τον πηγαίο κώδικα για τρωτά σημεία. Μόλις η ανάλυση του στατικού κώδικα Brakeman εκτελείται και παράγει αναφορές, ήρθε η ώρα να αρχίσουμε να καθορίζουμε τα αναφερόμενα ζητήματα. Μετά τον καθορισμό ενός προβλήματος, εκτελέστε για άλλη μια φορά το Brakeman. Συγχαρητήρια! Έχετε ρυθμίσει τώρα το εργαλείο στατικής ανάλυσης εργαλείων Brakeman Tool. Απολαμβάνω!

Συχνές ερωτήσεις

Τι χρησιμοποιείται η ασφάλεια του Brakeman;

Το Brakeman είναι μια στατική ανάλυση, ένα λογισμικό ανιχνευτή μηδενικού και ευπάθειας για τις εφαρμογές Ruby on Rails. Είναι γρήγορο, εύκολο στη χρήση και αυτοματοποιημένο εργαλείο ανάλυσης στατικού κώδικα. Αναλύει στατικά τον πηγαίο κώδικα εφαρμογών Rails και παρέχει αναφορά πληροφοριών σχετικά με πιθανές ευπάθειες ασφαλείας.

είναι δωρεάν brakeman;

Ο Brakeman είναι ελεύθερος στη χρήση και το dowload για μη εμπορική χρήση.

Είναι το Brakeman Open Source;

Το Brakeman είναι ένα εργαλείο ανίχνευσης ανοικτού κώδικα και εργαλείο ανάλυσης πηγαίου κώδικα για τις εφαρμογές Ruby on Rails. Το αποθετήριο πηγαίου κώδικα Brakeman είναι διαθέσιμο στο Github.

Σε ποια γλώσσα γράφεται ο Brakeman;

Το εργαλείο ανάλυσης κώδικα Brakeman είναι γραμμένο στη γλώσσα προγραμματισμού Ruby.

Τι είναι το Brakeman vs Snyk;

Ο Brakeman σαρώνει απευθείας για τα τρωτά σημεία ασφαλείας, τα γνωστά ανασφαλή πρότυπα και τις διαμορφώσεις στον πηγαίο κώδικα Aplication παρόμοια με το λογισμικό Bundler-Assisit. Η ανάλυση εντολών Brakeman θα εκτελέσει και θα εξάγει τα αποτελέσματα στο έργο Rails. Ενώ το εργαλείο σάρωσης ευπάθειας SNYK ανιχνεύει αυτόματα και διορθώνει τα τρωτά σημεία στον κωδικό εφαρμογής σας, τα εμπορευματοκιβώτια, τις εξαρτήσεις Kubernetes, Terraform, Node και NPM.

Εξερευνήστε

Σε αυτό το άρθρο συζητήσαμε για το εργαλείο ανάλυσης στατικού κώδικα ανοιχτού κώδικα Brakeman. Για να μάθετε άλλα εργαλεία σάρωσης ασφαλείας ανοιχτού κώδικα, επισκεφθείτε την επόμενη σελίδα:

Εργαλείο σάρωσης ευπάθειας Snyk Web

Πλαίσιο δοκιμών διείσδυσης metasploit

Πλαίσιο σάρωσης ευπάθειας και διείσδυσης βοείου κρέατος

Whatweb Tool για να ανακαλύψετε τα τρωτά σημεία ασφαλείας

 Ελληνικά