BRAKEMAN : Scanner de sécurité Rails

Laissez un commentaire / Articles techniques / Par

Introduction

Brakeman est un scanner de sécurité qui détecte les vulnérabilités de sécurité dans les applications Rails à l'aide d'une analyse statique. Il analyse directement le code source de notre application, ce qui élimine le besoin de configurer l'ensemble de notre pile d'applications pour pouvoir utiliser cet outil de sécurité pratique. Après analyse, il produit un rapport de tous les problèmes de sécurité qu'il a identifiés.

Avantages

Exécutez-le à tout moment Parce que tout ce dont Brakeman a besoin c'est du code source et celui-ci (Brakeman) peut être exécuté à n'importe quel stade de développement : nous pouvons générer une nouvelle application avec des rails et la scanner immédiatement à l'aide de Brakeman. Meilleure couverture Cela offre plus de couverture à notre application. Il vérifie les pages qui ne sont peut-être pas encore « en ligne » et trouve même des failles de sécurité avant qu'elles ne deviennent exploitables. Vitesse Il est beaucoup plus rapide que les scanners de sites Web de type « boîte noire », ce qui ressort clairement du fait qu'il faut très peu de minutes pour analyser de très grandes applications.

Limites

Faux positifs Étant quelque peu suspect, il risque de conduire à de nombreux « faux positifs ». Configurations inhabituelles Cela suppose une configuration Rails « typique ». Si certaines parties de l'application ne correspondent pas à la présentation normale de l'application Rails, il y a de fortes chances que cette partie soit manquée lors de l'analyse. N'est-il pas omniscient Brakeman ne peut pas comprendre tout ce qui se passe dans le code. Parfois, il s’agit simplement d’hypothèses raisonnables. Il se peut que des choses lui échappent. Cela pourrait mal interpréter les choses. Mais il fait de son mieux. Pour les problèmes, vérifiez : https://github.com/presidentbeef/brakeman/issues

Installation du serre-frein

Installation de gemmes 
gem installer freineur
Les gemmes Brakeman sont désormais signées, ce qui signifie que le contenu de la gemme peut être vérifié à l'aide du certificat de serre-frein public. Incluez les certificats ci-dessous comme « de confiance » pour vérifier la gemme ; # Freineur 
gem cert --add <(curl -Ls https://raw.github.com/presidentbeef/brakeman/master/brakeman-public_cert.pem)
# ruby_parser, etc. 
gem cert --add <(curl -Ls http://www.zenspider.com/~ryan/gem-public_cert.pem)
Multijson # 
gem cert --add <(curl -Ls https://raw.githubusercontent.com/intridea/multi_json/master/certs/rwz.pem)
Vérifier: 
gem installer freineur -P MediumSecurity
regroupeur Brakeman peut être ajouté à un Gemfile : 
gem "freineur", :require => false
clone git 
git clone git://github.com/presidentbeef/brakeman.git cd Brakeman gem build Brakeman.gemspec gem installer Brakeman-*.gem

Freineur en marche

Exécutez-le simplement sans option dans le répertoire racine de notre application Ruby : 
cd your_rails_app/freineur
Il analyse l'application et donne le résultat sous forme de rapport à la ligne de commande. Alternativement, nous pouvons fournir un chemin en option vers Brakeman : 
freineur your_rails_app
Encore plus précisément : 
freineur -p your_rails_app

Les références

Scanner freineur : https://brakemanscanner.org/docs/ GitHub : https://github.com/presidentbeef/brakeman RubyGemmes : https://rubygems.org/gems/brakeman/versions/3.3.2 RailsCasts : http://railscasts.com/episodes/358-brakeman

Abonnez-vous pour les dernières mises à jour

Articles Similaires
Comment annuler la validation depuis GitHub
Passer des appels vocaux via les applications Web Ruby on Rails
Comment importer/exporter une base de données MySQL dans Rails ?
RailsCarma est reconnue comme la meilleure société de développement Ruby on Rails en 2020

À propos de l'auteur du message

administrateur

Voir les messages de l'auteur

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

fr_FRFrench
en_USEnglish jaJapanese de_DEGerman es_ESSpanish fr_FRFrench