Brakeman es una herramienta de análisis de código estático de código abierto para verificar las aplicaciones de Ruby on Rails para vulnerabilidades de seguridad.

Brakeman Software de seguridad gratuito

Análisis estático basado en ruby ​​escáner de vulnerabilidad de seguridad

Brakeman es un escáner de análisis de código gratuito y vulnerabilidad de seguridad para aplicaciones Ruby on Rails. Encuentra problemas en el código antes de que se vuelvan explotables.

Descripción general

Brakeman es una herramienta de análisis de código estático de código abierto para verificar las aplicaciones de Ruby on Rails para vulnerabilidades de seguridad. Viene como un proyecto de código abierto con soporte comercial opcional para la detección de vulnerabilidades en aplicaciones de rieles. La herramienta de análisis estático de Brakeman escaneos para patrones y configuraciones inseguros conocidos en su código fuente antes de que el código alcance la producción. Es el escáner de seguridad más completo que proporciona un informe de evaluación de vulnerabilidad fácil de leer y se pueden generar informes mientras se construye o implementa una aplicación a entornos de sandbox o de producción. Brakeman también se puede utilizar para Sinatra y cualquier otro tipo de aplicación de rack para encontrar problemas de seguridad. La herramienta de seguridad del análisis de código estático de Brakeman separa los problemas en diferentes niveles altos, medianos y débiles. Escanea todos los archivos en el código fuente de una aplicación para encontrar posibles vulnerabilidades de seguridad en cualquier etapa de desarrollo. Cada vez que los nuevos cambios en el código se comprometen con el repositorio de código, el escáner de código fuente de Brakeman se ejecuta para verificar las vulnerabilidades de seguridad realizando un análisis estático del código. Esta herramienta atrapará muchas vulnerabilidades conocidas, como inyección SQL, inyección de comandos, secuencias de comandos de sitio cruzado y más. Brakeman es una herramienta de análisis de código fuente de origen abierto con 6.1K GitHub Stars y 652 GitHub Forks.

Requisitos del sistema

Se requieren los siguientes paquetes de dependencia clave para instalar el software de análisis estático de Brakeman:

  • Ruby: 2.3.0
  • Rails: 2.3.x o superior
  • Bundler
  • Editor de rubimina
  • Git

Características

Algunas de las excelentes características de la herramienta de análisis de código estático de Brakeman se enumeran a continuación:

  • Interfaz de línea de comando
  • Escaneos de código fuente rápido
  • Se requiere configuración cero
  • Escaneos de seguridad en cualquier momento
  • Análisis de flujo de datos de rieles
  • Detecta más de 20 tipos de vulnerabilidad
  • JSON Reports
  • Gestión falsa positiva
  • Fuente abierta

Instalación

Instale a Brakeman en Ubuntu

El escáner del código fuente de Brakeman es simple y fácil de iniciar el software. La herramienta de escaneo del código fuente de Brakeman se puede instalar como una gema Ruby o a través de Docker. Ejecute lo siguiente usando RubyGems en el directorio de proyectos:

    gem install brakeman

Si desea instalar usando Bundler, agregue lo siguiente a su GemFile o Gems.RB:

    gem "brakeman"

Luego ejecute Bundler para instalar gemas:

    bundle install

Ejecute el software de análisis estático de Brakeman desde la raíz de su aplicación Ruby on Rails:

    cd path/to/your/app
    brakeman 

Para obtener la última compilación del análisis de código estático de Brakeman utilizando Docker a continuación:

    docker pull presidentbeef/brakeman

Ahora ejecute la seguridad de análisis estático de Brakeman desde la raíz de su aplicación Ruby on Rails:

    cd path/to/your/app
    docker run -v "$(pwd)":/code brakeman --color

Para la construcción de la fuente, necesitará instalados Git, Ruby y Rubygems.

    git clone https://github.com/presidentbeef/brakeman.git
    cd brakeman
    gem build brakeman.gemspec
    gem install brakeman-*.gem

Hay algunas verificaciones de escaneo que no se ejecutan de forma predeterminada. Ejecute a continuación para ejecutar todos los cheques:

    brakeman -A

Brakeman Open Source Scan se ejecuta como una herramienta de línea de comandos y necesita el directorio raíz de la aplicación Ruby on Rails para comenzar y escanear el código fuente de vulnerabilidades. Una vez que el análisis de código estático de Brakeman está ejecutando y produciendo informes, es hora de comenzar a solucionar problemas informados. Después de solucionar un problema, ejecute a Brakeman una vez más. ¡Felicidades! Ahora ha configurado la herramienta de análisis estático de la herramienta Brakeman. ¡Disfrutar!

Preguntas frecuentes

¿Para qué se usa la seguridad de Brakeman?

Brakeman es un análisis de análisis estático, setup y vulnerabilidad para Ruby on Rails Aplications. Es una herramienta de análisis de código estático rápido, fácil de usar y automatizado. Analiza estáticamente el código fuente de aplicaciones Rails y proporciona un informe de información sobre posibles vulnerabilidades de seguridad.

¿Brakeman está libre?

Brakeman es gratuito y DowLoad para uso no comercial.

¿Es Brakeman Open Source?

Brakeman es un escáner de seguridad de código abierto y una herramienta de análisis de código fuente para aplicaciones Ruby on Rails. El repositorio de código fuente de Brakeman está disponible en Github.

¿En qué idioma está escrito Brakeman?

La herramienta de análisis de código de Brakeman está escrita en lenguaje de programación Ruby.

¿Qué es Brakeman vs Snyk?

Brakeman escanea directamente las vulnerabilidades de seguridad, patrones y configuraciones inseguros conocidos en su código fuente de aplicación similar al software Bundler-Audit. El análisis del comando Brakeman ejecutará y generará los resultados en su proyecto Rails. Mientras que la herramienta de escaneo de vulnerabilidades SNYK detecta y repara las vulnerabilidades en su código de aplicación, contenedores, kubernetes, terraform, dependencias de nodos y NPM.

Explorar

En este artículo discutimos sobre la herramienta de análisis de código estático de código abierto de Brakeman. Para conocer otras herramientas de escaneo de seguridad de código abierto, visite la siguiente página:

Herramienta de escaneo de vulnerabilidad web Snyk

Marco de pruebas de penetración de MetaSploit

Marco de escaneo de vulnerabilidades y pruebas de penetración de carne de res

WhatWeb Tool para descubrir vulnerabilidades de seguridad

 Español