BRAKEMAN: Escáner de seguridad de rieles

Deja un comentario / Artículos técnicos / Por

Introducción

Brakeman es un escáner de seguridad y detecta vulnerabilidades de seguridad en aplicaciones Rails con la ayuda de análisis estático. Escanea directamente el código fuente de nuestra aplicación, lo que elimina la necesidad de configurar toda nuestra pila de aplicaciones para poder utilizar esta conveniente herramienta de seguridad. Después del escaneo, genera un informe de todos los problemas de seguridad que ha identificado.

Ventajas

Ejecútelo en cualquier momento Porque todo lo que Brakeman necesita es el código fuente y (Brakeman) se puede ejecutar en cualquier etapa de desarrollo: podemos generar una nueva aplicación con rieles y escanearla inmediatamente usando Brakeman. Mejor cobertura Proporciona más cobertura a nuestra aplicación. Comprueba las páginas que podrían no estar "activas" todavía e incluso encuentra vulnerabilidades de seguridad antes de que sean explotables. Velocidad Es mucho más rápido que los escáneres de sitios web de “caja negra”, lo que se desprende del hecho de que tarda muy pocos minutos en escanear aplicaciones muy grandes.

Limitaciones

Falsos positivos Al ser algo sospechoso, se corre el riesgo de dar lugar a muchos “falsos positivos”. Configuraciones inusuales Asume una configuración de Rails "típica". Si algunas partes de la aplicación no se ajustan al diseño normal de la aplicación Rails, hay muchas posibilidades de que esa parte se pierda durante el escaneo. no es omnisciente Brakeman no puede entender todo lo que sucede en el código. A veces, simplemente hace suposiciones razonables. Puede que se le escapen cosas. Puede malinterpretar las cosas. Pero hace lo mejor que puede. Para problemas, consulte: https://github.com/presidentbeef/brakeman/issues

Instalación del guardafrenos

instalación de gemas 
gema instalar guardafrenos
Las gemas de Brakeman ahora están firmadas, lo que significa que el contenido de la gema se puede verificar usando el certificado de guardafrenos público. Incluya los siguientes certificados como "confiables" para verificar la gema; Guardafrenos # 
certificado de gema --add <(curl -Ls https://raw.github.com/presidentbeef/brakeman/master/brakeman-public_cert.pem)
# ruby_parser, etc. 
certificado de gema --add <(curl -Ls http://www.zenspider.com/~ryan/gem-public_cert.pem)
# multijson 
certificado de gema --add <(curl -Ls https://raw.githubusercontent.com/intridea/multi_json/master/certs/rwz.pem)
Para verificar: 
instalación de gemas guardafrenos -P MediumSecurity
empaquetador Brakeman se puede agregar a un Gemfile: 
gema "frenador", :require => false
clon de git 
git clone git://github.com/presidentbeef/brakeman.git cd Brakeman gem build Brakeman.gemspec gem install Brakeman-*.gem

Frenero corriendo

Simplemente ejecútelo sin opciones en el directorio raíz de nuestra aplicación Ruby: 
cd your_rails_app/frenador
Escanea la aplicación y proporciona el resultado como un informe a la línea de comando. Alternativamente, podemos proporcionar una ruta como opción a Brakeman: 
guardafrenos your_rails_app
Aún más específicamente: 
guardafrenos -p your_rails_app

Referencias

Escáner de guardafrenos: https://brakemanscanner.org/docs/ Github: https://github.com/presidentbeef/brakeman Gemas de rubí: https://rubygems.org/gems/brakeman/versions/3.3.2 RailsCasts: http://railscasts.com/episodes/358-brakeman

Suscríbete para recibir las últimas actualizaciones

Artículos Relacionados
Cómo revertir el compromiso desde GitHub
Realice llamadas de voz a través de aplicaciones web Ruby on Rails
¿Cómo importar/exportar una base de datos MySQL en Rails?
RailsCarma es reconocida como la principal empresa de desarrollo de Ruby on Rails en 2020

Acerca del autor de la publicación

administración

Ver publicaciones del autor

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

es_ESSpanish
en_USEnglish jaJapanese de_DEGerman fr_FRFrench es_ESSpanish