Brakeman là một công cụ phân tích mã tĩnh nguồn mở để kiểm tra Ruby trên các ứng dụng Rails cho các lỗ hổng bảo mật.

Brakeman Phần mềm bảo mật miễn phí

Máy quét lỗ hổng bảo mật phân tích tĩnh dựa trên Ruby

Brakeman là một máy quét phân tích mã miễn phí và dễ bị tổn thương bảo mật cho Ruby trên các ứng dụng Rails. Nó tìm thấy các vấn đề trong mã trước khi chúng trở nên có thể khai thác.

Tổng quan

Brakeman là một công cụ phân tích mã tĩnh nguồn mở để kiểm tra Ruby trên các ứng dụng Rails cho các lỗ hổng bảo mật. Nó đến như một dự án nguồn mở với hỗ trợ thương mại tùy chọn để phát hiện lỗ hổng trong các ứng dụng Rails. Công cụ phân tích tĩnh Brakeman quét cho các mẫu và cấu hình không an toàn đã biết trong mã nguồn của bạn trước khi mã đạt được sản xuất. Đây là máy quét bảo mật toàn diện nhất cung cấp báo cáo đánh giá dễ bị tổn thương dễ đọc và báo cáo có thể được tạo trong khi xây dựng hoặc triển khai một ứng dụng cho hộp cát hoặc môi trường sản xuất. Brakeman cũng có thể được sử dụng cho Sinatra và bất kỳ loại ứng dụng giá đỡ nào khác để tìm các vấn đề bảo mật. Công cụ bảo mật phân tích mã tĩnh Brakeman phân tách các vấn đề ở các cấp độ cao, trung bình và yếu khác nhau. Nó quét tất cả các tệp trong mã nguồn của một ứng dụng để tìm các lỗ hổng bảo mật tiềm năng ở bất kỳ giai đoạn phát triển nào. Mỗi khi mã mới thay đổi được cam kết vào kho lưu trữ mã, trình quét mã nguồn Brakeman chạy để kiểm tra các lỗ hổng bảo mật bằng cách thực hiện phân tích tĩnh của mã. Công cụ này sẽ bắt được nhiều lỗ hổng đã biết như tiêm SQL, tiêm lệnh, kịch bản chéo trang web và nhiều hơn nữa. Brakeman là một công cụ phân tích mã nguồn mở với các ngôi sao 6.1k GitHub và 652 Fork.

yêu cầu hệ thống

Các gói phụ thuộc chính sau đây được yêu cầu để cài đặt phần mềm phân tích tĩnh Brakeman:

  • Ruby: 2.3.0
  • Rails: 2.3.x trở lên
  • Bundler
  • Biên tập viên Rubymine
  • Git

Đặc trưng

Một số tính năng tuyệt vời của công cụ phân tích mã tĩnh Brakeman được liệt kê dưới đây:

  • Giao diện dòng lệnh
  • Quét mã nguồn nhanh
  • Yêu cầu cấu hình không
  • Quét bảo mật tại bất kỳ điểm nào
  • Phân tích luồng dữ liệu Rails
  • Phát hiện hơn 20 loại lỗ hổng
  • Báo cáo JSON
  • Quản lý tích cực giả
  • Mã nguồn mở

Cài đặt

Cài đặt Brakeman trên Ubuntu

Máy quét mã nguồn Brakeman rất đơn giản và dễ dàng để bắt đầu phần mềm. Công cụ quét mã nguồn Brakeman có thể được cài đặt dưới dạng viên đá quý Ruby hoặc thông qua Docker. Chạy sau đây bằng Rubygems trong Danh mục Dự án:

    gem install brakeman

Nếu bạn muốn cài đặt bằng Bundler, hãy thêm phần sau vào Gemfile hoặc GEMS.RB:

    gem "brakeman"

Sau đó chạy Bundler để cài đặt Gems:

    bundle install

Chạy phần mềm phân tích tĩnh Brakeman từ gốc của ứng dụng Ruby on Rails:

    cd path/to/your/app
    brakeman 

Để tìm nạp bản dựng mới nhất của phân tích mã tĩnh Brakeman bằng cách sử dụng Docker Run bên dưới:

    docker pull presidentbeef/brakeman

Bây giờ chạy bảo mật phân tích tĩnh Brakeman từ gốc của ứng dụng Ruby on Rails:

    cd path/to/your/app
    docker run -v "$(pwd)":/code brakeman --color

Để xây dựng từ nguồn, bạn sẽ cần cài đặt Git, Ruby và Rubygems.

    git clone https://github.com/presidentbeef/brakeman.git
    cd brakeman
    gem build brakeman.gemspec
    gem install brakeman-*.gem

Có một số kiểm tra quét không được chạy theo mặc định. Chạy bên dưới để chạy tất cả các kiểm tra:

    brakeman -A

Quét nguồn mở Brakeman được chạy như một công cụ dòng lệnh và nó cần thư mục gốc của ứng dụng Ruby on Rails để bắt đầu và quét mã nguồn cho các lỗ hổng. Khi phân tích mã tĩnh Brakeman đang chạy và tạo báo cáo, đó là thời gian để bắt đầu khắc phục các vấn đề được báo cáo. Sau khi khắc phục một vấn đề, hãy chạy Brakeman một lần nữa. Chúc mừng! Bây giờ bạn đã thiết lập công cụ phân tích tĩnh công cụ Brakeman. Thưởng thức!

FAQs

What is Brakeman security used for?

Brakeman is a static analysis, zero-setup and vulnerability scanner software for Ruby on Rails applications. It is fast, easy to use and automated static code analysis tool. It statically analyzes the source code of Rails applications and provides information report about potential security vulnerabilities.

Is Brakeman free?

Brakeman is a free to use and dowload for non-commercial use.

Is Brakeman open source?

Brakeman is an open source security scanner and source code analysis tool for Ruby on Rails applications. Brakeman source code repository is available at Github.

In what language is Brakeman written?

Brakeman code analysis tool is written in Ruby programming language.

What is Brakeman vs Snyk?

Brakeman directly scans for security vulnerabilities, known insecure patterns and configurations in your aplication source code similar to bundler-audit software. The brakeman command analysis will run and output the results in your Rails project. While Snyk vulnerability scanning tool automatically detects and fixes vulnerabilities in your application code, containers, Kubernetes, Terraform, Node and npm dependencies.

Khám phá

Trong bài viết này, chúng tôi đã thảo luận về công cụ phân tích mã tĩnh nguồn mở Brakeman. Để tìm hiểu về các công cụ quét bảo mật nguồn mở khác, vui lòng truy cập trang sau:

Công cụ quét lỗ hổng web SNYK

Khung kiểm tra thâm nhập Metasploit

Khung kiểm tra lỗ hổng và xâm nhập lỗ hổng thịt bò

Công cụ wheb để khám phá các lỗ hổng bảo mật

 Tiếng Việt