BRAKEMAN : Scanner de sécurité Rails

Introduction

Brakeman est un scanner de sécurité qui détecte les vulnérabilités de sécurité dans les applications Rails à l'aide d'une analyse statique. Il analyse directement le code source de notre application, ce qui élimine le besoin de configurer l'ensemble de notre pile d'applications pour pouvoir utiliser cet outil de sécurité pratique. Après analyse, il produit un rapport de tous les problèmes de sécurité qu'il a identifiés.

Avantages

Exécutez-le à tout moment Parce que tout ce dont Brakeman a besoin c'est du code source et celui-ci (Brakeman) peut être exécuté à n'importe quel stade de développement : nous pouvons générer une nouvelle application avec des rails et la scanner immédiatement à l'aide de Brakeman. Meilleure couverture Cela offre plus de couverture à notre application. Il vérifie les pages qui ne sont peut-être pas encore « en ligne » et trouve même des failles de sécurité avant qu'elles ne deviennent exploitables. Vitesse Il est beaucoup plus rapide que les scanners de sites Web de type « boîte noire », ce qui ressort clairement du fait qu'il faut très peu de minutes pour analyser de très grandes applications.

Limites

Faux positifs Étant quelque peu suspect, il risque de conduire à de nombreux « faux positifs ». Configurations inhabituelles Cela suppose une configuration Rails « typique ». Si certaines parties de l'application ne correspondent pas à la présentation normale de l'application Rails, il y a de fortes chances que cette partie soit manquée lors de l'analyse. N'est-il pas omniscient Brakeman ne peut pas comprendre tout ce qui se passe dans le code. Parfois, il s’agit simplement d’hypothèses raisonnables. Il se peut que des choses lui échappent. Cela pourrait mal interpréter les choses. Mais il fait de son mieux. Pour les problèmes, vérifiez : https://github.com/presidentbeef/brakeman/issues

Installation du serre-frein

Installation de gemmes
gem installer freineur
Les gemmes Brakeman sont désormais signées, ce qui signifie que le contenu de la gemme peut être vérifié à l'aide du certificat de serre-frein public. Incluez les certificats ci-dessous comme « de confiance » pour vérifier la gemme ; # Freineur
gem cert --add <(curl -Ls https://raw.github.com/presidentbeef/brakeman/master/brakeman-public_cert.pem)
# ruby_parser, etc.
gem cert --add <(curl -Ls http://www.zenspider.com/~ryan/gem-public_cert.pem)
Multijson #
gem cert --add <(curl -Ls https://raw.githubusercontent.com/intridea/multi_json/master/certs/rwz.pem)
Vérifier:
gem installer freineur -P MediumSecurity
regroupeur Brakeman peut être ajouté à un Gemfile :
gem "freineur", :require => false
clone git
git clone git://github.com/presidentbeef/brakeman.git cd Brakeman gem build Brakeman.gemspec gem installer Brakeman-*.gem

Freineur en marche

Exécutez-le simplement sans option dans le répertoire racine de notre application Ruby :
cd your_rails_app/freineur
Il analyse l'application et donne le résultat sous forme de rapport à la ligne de commande. Alternativement, nous pouvons fournir un chemin en option vers Brakeman :
freineur your_rails_app
Encore plus précisément :
freineur -p your_rails_app

Les références

Scanner freineur : https://brakemanscanner.org/docs/ GitHub : https://github.com/presidentbeef/brakeman RubyGemmes : https://rubygems.org/gems/brakeman/versions/3.3.2 RailsCasts : http://railscasts.com/episodes/358-brakeman

Abonnez-vous pour les dernières mises à jour

Articles Similaires

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

fr_FRFrench