introduzione
Brakeman è uno scanner di sicurezza e rileva le vulnerabilità della sicurezza nelle applicazioni Rails con l'aiuto dell'analisi statica. Esegue direttamente la scansione del codice sorgente della nostra applicazione, eliminando la necessità di configurare l'intero stack dell'applicazione per utilizzare questo utile strumento di sicurezza. Dopo la scansione, produce un rapporto di tutti i problemi di sicurezza identificati.Vantaggi
Eseguilo in qualsiasi momento Perché tutto ciò di cui Brakeman ha bisogno è il codice sorgente e questo (Brakeman) può essere eseguito in qualsiasi fase dello sviluppo: possiamo generare una nuova applicazione con i binari e scansionarla immediatamente utilizzando Brakeman. Migliore copertura Fornisce una maggiore copertura alla nostra applicazione. Controlla le pagine che potrebbero non essere ancora "attive" e rileva anche le vulnerabilità della sicurezza prima che diventino sfruttabili. Velocità È molto più veloce degli scanner di siti Web "a scatola nera", il che è evidente dal fatto che sono necessari pochissimi minuti per scansionare applicazioni molto grandi.Limitazioni
Falsi positivi Essendo un po’ sospettoso, corre il rischio di portare a molti “falsi positivi”. Configurazioni insolite Presuppone una configurazione Rails “tipica”. Se alcune parti dell'app non rientrano nel normale layout dell'applicazione Rails, è molto probabile che quella parte venga persa durante la scansione. Non è onnisciente Il frenatore non riesce a capire tutto ciò che accade nel codice. A volte si limita a fare supposizioni ragionevoli. Potrebbe perdere delle cose. Potrebbe interpretare male le cose. Ma fa del suo meglio. Per problemi, controlla: https://github.com/presidentbeef/brakeman/issuesInstallazione del frenatore
Installazione della gemmagemma installa il frenatore
Le gemme del Frenatore ora sono firmate, il che significa che il contenuto della gemma può essere verificato utilizzando il file certificato pubblico di frenatore. Includere i seguenti certificati come “attendibili” per verificare la gemma; # Frenatore
gem cert --add <(curl -Ls https://raw.github.com/presidentbeef/brakeman/master/brakeman-public_cert.pem)
# ruby_parser, ecc.
gem cert --add <(curl -Ls http://www.zenspider.com/~ryan/gem-public_cert.pem)
Multisensore #
gem cert --add <(curl -Ls https://raw.githubusercontent.com/intridea/multi_json/master/certs/rwz.pem)
Verificare:
gem installa frenatore -P MediumSecurity
bundler
Brakeman può essere aggiunto a un Gemfile:
gemma "frenatore", :require => false
git clone
git clone git://github.com/presidentbeef/brakeman.git cd Brakeman gem build Brakeman.gemspec gem install Brakeman-*.gem
Frenatore in corsa
Basta eseguirlo senza opzioni nella directory root della nostra applicazione Ruby:cd your_rails_app/ frenatore
Esegue la scansione dell'applicazione e fornisce l'output come rapporto alla riga di comando. In alternativa, possiamo fornire un percorso come opzione a Brakeman:
frenatore your_rails_app
Ancora più specificatamente:
frenatore -p your_rails_app
Riferimenti
Scanner del frenatore: https://brakemanscanner.org/docs/ Github: https://github.com/presidentbeef/brakeman Gemme di rubino: https://rubygems.org/gems/brakeman/versions/3.3.2 RailsCast: http://railscasts.com/episodes/358-brakemanIscriviti per gli ultimi aggiornamenti
Articoli correlati