BRAKEMAN: Säkerhetsskanner för Rails

Introduktion

Brakeman är en säkerhetsskanner och den upptäcker säkerhetsproblem i Rails-applikationer med hjälp av statisk analys. Den skannar direkt genom källkoden för vår applikation vilket eliminerar behovet av att ställa in hela vår applikationsstack för att kunna använda detta lämpliga säkerhetsverktyg. Efter skanning producerar den en rapport om alla säkerhetsproblem som den har identifierat.

Fördelar

Kör det när som helst Eftersom allt som Brakeman behöver är källkoden och den (Brakeman) kan köras i alla utvecklingsstadier: Vi kan generera en ny applikation med rails och omedelbart skanna den med Brakeman. Bättre täckning Det ger mer täckning för vår applikation. Den kontrollerar sidor som kanske inte är ‘live’ ännu och hittar till och med säkerhetsproblem innan de blir möjliga att utnyttja. Hastighet Den är mycket snabbare än “black box”-webbplatsscanners, vilket framgår av det faktum att det tar mycket få minuter att scanna mycket stora applikationer.

Begränsningar

Falska positiva resultat Den är något misstänksam och riskerar att leda till många “falska positiva” resultat.” Ovanliga konfigurationer Det förutsätter en “typisk” Rails-installation. Om vissa delar av appen inte faller under normal Rails-applikationslayout finns det stora chanser att den delen kan missas vid skanning. Är inte allvetande Brakeman kan inte förstå allt som händer i koden. Ibland gör den bara rimliga antaganden. Den kan missa saker. Den kan misstolka saker. Men den gör sitt bästa. För frågor, kolla: https://github.com/presidentbeef/brakeman/issues

Installation av bromskloss

Gem-installation
gem installera brakeman
Brakeman-pärlor är nu signerade, vilket innebär att innehållet i pärlan kan verifieras med hjälp av offentligt Brakeman-certifikat. Inkludera nedanstående certifikat som “betrodda” för att verifiera pärlan; # Brakeman
gem cert --add <(curl -Ls https://raw.github.com/presidentbeef/brakeman/master/brakeman-public_cert.pem)
# ruby_parser, etc.
gem cert --add <(curl -Ls http://www.zenspider.com/~ryan/gem-public_cert.pem)
# multijson
gem cert --add <(curl -Ls https://raw.githubusercontent.com/intridea/multi_json/master/certs/rwz.pem)
För att verifiera:
gem installera brakeman -P MediumSecurity
buntare Brakeman kan läggas till i en Gemfile:
gem "brakeman", :require => false
git-klon
git clone git://github.com/presidentbeef/brakeman.git
cd brakeman
gem bygga brakeman.gemspec
gem installera brakeman-*.gem

Löpande bromskloss

Kör det bara utan några alternativ i rotkatalogen för vår Ruby-applikation:
cd din_rails_app/
brakeman
Den skannar programmet och ger utdata som en rapport till kommandoraden. Alternativt kan vi ange en sökväg som ett alternativ till Brakeman:
bromsman din_rails_app
Ännu mer specifikt:
brakeman -p din_rails_app

Referenser

BrakemanScanner: https://brakemanscanner.org/docs/ Github: https://github.com/presidentbeef/brakeman RubyGems: https://rubygems.org/gems/brakeman/versions/3.3.2 RailsCasts: http://railscasts.com/episodes/358-brakeman

Prenumerera för de senaste uppdateringarna

relaterade inlägg

Om inläggsförfattare

Lämna en kommentar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *


sv_SESwedish