Introducción
Brakeman es un escáner de seguridad y detecta vulnerabilidades de seguridad en aplicaciones Rails con la ayuda de análisis estático. Escanea directamente el código fuente de nuestra aplicación, lo que elimina la necesidad de configurar toda nuestra pila de aplicaciones para poder utilizar esta conveniente herramienta de seguridad. Después del escaneo, genera un informe de todos los problemas de seguridad que ha identificado.Ventajas
Ejecútelo en cualquier momento Porque todo lo que Brakeman necesita es el código fuente y (Brakeman) se puede ejecutar en cualquier etapa de desarrollo: podemos generar una nueva aplicación con rieles y escanearla inmediatamente usando Brakeman. Mejor cobertura Proporciona más cobertura a nuestra aplicación. Comprueba las páginas que podrían no estar "activas" todavía e incluso encuentra vulnerabilidades de seguridad antes de que sean explotables. Velocidad Es mucho más rápido que los escáneres de sitios web de “caja negra”, lo que se desprende del hecho de que tarda muy pocos minutos en escanear aplicaciones muy grandes.Limitaciones
Falsos positivos Al ser algo sospechoso, se corre el riesgo de dar lugar a muchos “falsos positivos”. Configuraciones inusuales Asume una configuración de Rails "típica". Si algunas partes de la aplicación no se ajustan al diseño normal de la aplicación Rails, hay muchas posibilidades de que esa parte se pierda durante el escaneo. no es omnisciente Brakeman no puede entender todo lo que sucede en el código. A veces, simplemente hace suposiciones razonables. Puede que se le escapen cosas. Puede malinterpretar las cosas. Pero hace lo mejor que puede. Para problemas, consulte: https://github.com/presidentbeef/brakeman/issuesInstalación del guardafrenos
instalación de gemasgema instalar guardafrenos
Las gemas de Brakeman ahora están firmadas, lo que significa que el contenido de la gema se puede verificar usando el certificado de guardafrenos público. Incluya los siguientes certificados como "confiables" para verificar la gema; Guardafrenos #
certificado de gema --add <(curl -Ls https://raw.github.com/presidentbeef/brakeman/master/brakeman-public_cert.pem)
# ruby_parser, etc.
certificado de gema --add <(curl -Ls http://www.zenspider.com/~ryan/gem-public_cert.pem)
# multijson
certificado de gema --add <(curl -Ls https://raw.githubusercontent.com/intridea/multi_json/master/certs/rwz.pem)
Para verificar:
instalación de gemas guardafrenos -P MediumSecurity
empaquetador
Brakeman se puede agregar a un Gemfile:
gema "frenador", :require => false
clon de git
git clone git://github.com/presidentbeef/brakeman.git cd Brakeman gem build Brakeman.gemspec gem install Brakeman-*.gem
Frenero corriendo
Simplemente ejecútelo sin opciones en el directorio raíz de nuestra aplicación Ruby:cd your_rails_app/frenador
Escanea la aplicación y proporciona el resultado como un informe a la línea de comando. Alternativamente, podemos proporcionar una ruta como opción a Brakeman:
guardafrenos your_rails_app
Aún más específicamente:
guardafrenos -p your_rails_app
Referencias
Escáner de guardafrenos: https://brakemanscanner.org/docs/ Github: https://github.com/presidentbeef/brakeman Gemas de rubí: https://rubygems.org/gems/brakeman/versions/3.3.2 RailsCasts: http://railscasts.com/episodes/358-brakemanSuscríbete para recibir las últimas actualizaciones
Artículos Relacionados