点击上方蓝字“Ots安全”一起玩耍
概述
Brakeman 是一个开源静态代码分析工具,用于检查 Ruby on Rails 应用程序的安全漏洞。它是一个开源项目,为 Rails 应用程序中的漏洞检测提供可选的商业支持。Brakeman 静态分析工具会在代码投入生产之前扫描源代码中已知的不安全模式和配置。它是最全面的安全扫描程序,提供易于阅读的漏洞评估报告,并且可以在构建或部署应用程序到沙盒或生产环境时生成报告。Brakeman 还可用于 Sinatra 和任何其他类型的机架应用程序以查找安全问题。
Brakeman 静态代码分析安全工具将问题划分为不同的高、中、弱级别。它扫描应用程序源代码中的所有文件,以在开发的任何阶段发现潜在的安全漏洞。每次将新代码更改提交到代码存储库时,brakeman 源代码扫描器都会运行,通过对代码执行静态分析来检查安全漏洞。该工具将捕获许多已知漏洞,例如 SQL 注入、命令注入、跨站点脚本等。Brakeman 是一个开源代码分析工具,拥有 6.1K GitHub 星和 652 个 GitHub 分支。
系统要求
安装 Brakeman 静态分析软件需要以下关键依赖包:
-
Ruby: 2.3.0
-
Rails: 2.3.x or above
-
Bundler
-
RubyMine editor
-
Git
特征
下面列出了 Brakeman 静态代码分析工具的一些强大功能:
-
命令行界面
-
快速源代码扫描
-
需要零配置
-
随时进行安全扫描
-
Rails 数据流分析
-
检测 20 多种漏洞类型
-
JSON 报告
-
误报管理
-
开源
在 Ubuntu 上安装 Brakeman
Brakeman 源代码扫描器是一款简单易上手的软件。Brakeman 源代码扫描工具可以作为 Ruby gem 或通过 Docker 安装。在项目目录中使用 rubygems 运行以下命令:
gem install brakeman如果您想使用 Bundler 安装,请将以下内容添加到您的 Gemfile 或 gems.rb:
gem "brakeman"然后运行 bundler 来安装 gems:
bundle install从 Ruby on Rails 应用程序的根目录运行 Brakeman 静态分析软件:
cd path/to/your/appbrakeman
要使用 Docker 获取最新版本的 Brakeman 静态代码分析,请运行以下命令:
docker pull presidentbeef/brakeman现在从 Ruby on Rails 应用程序的根目录运行 Brakeman 静态分析安全性:
cd path/to/your/appdocker run -v "$(pwd)":/code brakeman --color
要从源代码构建,您需要安装 Git、Ruby 和 RubyGems。
git clone https://github.com/presidentbeef/brakeman.gitcd brakemangem build brakeman.gemspecgem install brakeman-*.gem
有一些默认情况下不运行的扫描检查。在下面运行以运行所有检查:
brakeman -ABrakeman 开源扫描作为命令行工具运行,它需要 ruby on rails 应用程序的根目录才能启动并扫描源代码中的漏洞。一旦 Brakeman 静态代码分析运行并生成报告,就该开始修复报告的问题了。修复问题后,再次运行 Brakeman。
原文始发于微信公众号(Ots安全):Brakeman 静态代码分析安全工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论