{"id":27097,"date":"2017-09-02T09:49:21","date_gmt":"2017-09-02T09:49:21","guid":{"rendered":"https:\/\/dev.railscarma.com\/brakeman-rails-security-scanner\/"},"modified":"2021-06-05T07:39:04","modified_gmt":"2021-06-05T07:39:04","slug":"scanner-de-securite-des-rails-du-serre-frein","status":"publish","type":"post","link":"https:\/\/www.railscarma.com\/fr\/blog\/articles-techniques\/scanner-de-securite-des-rails-du-serre-frein\/","title":{"rendered":"BRAKEMAN\u00a0: Scanner de s\u00e9curit\u00e9 Rails"},"content":{"rendered":"
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Introduction<\/h2>\nBrakeman est un scanner de s\u00e9curit\u00e9 qui d\u00e9tecte les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 dans les applications Rails \u00e0 l'aide d'une analyse statique. Il analyse directement le code source de notre application, ce qui \u00e9limine le besoin de configurer l'ensemble de notre pile d'applications pour pouvoir utiliser cet outil de s\u00e9curit\u00e9 pratique. Apr\u00e8s analyse, il produit un rapport de tous les probl\u00e8mes de s\u00e9curit\u00e9 qu'il a identifi\u00e9s.\n

Avantages<\/h3>\nEx\u00e9cutez-le \u00e0 tout moment<\/strong>\nParce que tout ce dont Brakeman a besoin c'est du code source et celui-ci (Brakeman) peut \u00eatre ex\u00e9cut\u00e9 \u00e0 n'importe quel stade de d\u00e9veloppement : nous pouvons g\u00e9n\u00e9rer une nouvelle application avec des rails et la scanner imm\u00e9diatement \u00e0 l'aide de Brakeman.\nMeilleure couverture<\/strong>\nCela offre plus de couverture \u00e0 notre application. Il v\u00e9rifie les pages qui ne sont peut-\u00eatre pas encore \u00ab\u00a0en ligne\u00a0\u00bb et trouve m\u00eame des failles de s\u00e9curit\u00e9 avant qu'elles ne deviennent exploitables.\nVitesse<\/strong>\nIl est beaucoup plus rapide que les scanners de sites Web de type \u00ab bo\u00eete noire \u00bb, ce qui ressort clairement du fait qu'il faut tr\u00e8s peu de minutes pour analyser de tr\u00e8s grandes applications.\n

Limites<\/h3>\nFaux positifs<\/strong>\n\u00c9tant quelque peu suspect, il risque de conduire \u00e0 de nombreux \u00ab faux positifs \u00bb.\nConfigurations inhabituelles<\/strong>\nCela suppose une configuration Rails \u00ab typique \u00bb. Si certaines parties de l'application ne correspondent pas \u00e0 la pr\u00e9sentation normale de l'application Rails, il y a de fortes chances que cette partie soit manqu\u00e9e lors de l'analyse.\nN'est-il pas omniscient<\/strong>\nBrakeman ne peut pas comprendre tout ce qui se passe dans le code. Parfois, il s\u2019agit simplement d\u2019hypoth\u00e8ses raisonnables. Il se peut que des choses lui \u00e9chappent. Cela pourrait mal interpr\u00e9ter les choses. Mais il fait de son mieux. Pour les probl\u00e8mes, v\u00e9rifiez\u00a0: https:\/\/github.com\/presidentbeef\/brakeman\/issues<\/a>\n

Installation du serre-frein<\/h3>\nInstallation de gemmes<\/strong>\n
gem installer freineur<\/code><\/pre>\nLes gemmes Brakeman sont d\u00e9sormais sign\u00e9es, ce qui signifie que le contenu de la gemme peut \u00eatre v\u00e9rifi\u00e9 \u00e0 l'aide du certificat de serre-frein public<\/a>. Incluez les certificats ci-dessous comme \u00ab\u00a0de confiance\u00a0\u00bb pour v\u00e9rifier la gemme\u00a0; # Freineur\n
gem cert --add <(curl -Ls https:\/\/raw.github.com\/presidentbeef\/brakeman\/master\/brakeman-public_cert.pem)<\/code><\/pre>\n# ruby_parser, etc.\n
gem cert --add <(curl -Ls http:\/\/www.zenspider.com\/~ryan\/gem-public_cert.pem)<\/code><\/pre>\nMultijson #\n
gem cert --add <(curl -Ls https:\/\/raw.githubusercontent.com\/intridea\/multi_json\/master\/certs\/rwz.pem)<\/code><\/pre>\nV\u00e9rifier:<\/strong>\n
gem installer freineur -P MediumSecurity<\/code><\/pre>\nregroupeur<\/strong>\nBrakeman peut \u00eatre ajout\u00e9 \u00e0 un Gemfile\u00a0:\n
gem "freineur", :require => false<\/code><\/pre>\nclone git<\/strong>\n
git clone git:\/\/github.com\/presidentbeef\/brakeman.git cd Brakeman gem build Brakeman.gemspec gem installer Brakeman-*.gem<\/code><\/pre>\n
Freineur en marche<\/h3>\nEx\u00e9cutez-le simplement sans option dans le r\u00e9pertoire racine de notre application Ruby\u00a0:\n
cd your_rails_app\/freineur<\/code><\/pre>\nIl analyse l'application et donne le r\u00e9sultat sous forme de rapport \u00e0 la ligne de commande. Alternativement, nous pouvons fournir un chemin en option vers Brakeman\u00a0:\n
freineur your_rails_app<\/code><\/pre>\nEncore plus pr\u00e9cis\u00e9ment :\n
freineur -p your_rails_app<\/code><\/pre>\n
Les r\u00e9f\u00e9rences<\/h3>\nScanner freineur\u00a0: https:\/\/brakemanscanner.org\/docs\/<\/a>\nGitHub\u00a0: https:\/\/github.com\/presidentbeef\/brakeman<\/a>\nRubyGemmes\u00a0: https:\/\/rubygems.org\/gems\/brakeman\/versions\/3.3.2<\/a>\nRailsCasts\u00a0: http:\/\/railscasts.com\/episodes\/358-brakeman<\/a>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t
Abonnez-vous pour les derni\u00e8res mises \u00e0 jour<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\t\t\t\t\t