Bearer报告格式详解:如何解读安全扫描结果和统计信息
【免费下载链接】bearerCode security scanning tool (SAST) to discover, filter and prioritize security and privacy risks.项目地址: https://gitcode.com/gh_mirrors/be/bearer
Bearer是一款强大的代码安全扫描工具(SAST),能够帮助开发团队发现、筛选和优先处理代码中的安全和隐私风险。本文将详细解析Bearer的报告格式,帮助您轻松理解安全扫描结果和统计信息,从而更有效地管理代码安全风险。
一、Bearer报告类型概览 📊
Bearer CLI可以从同一基础扫描生成多种类型的报告,满足不同场景的需求:
- 安全报告(Security Report):专注于发现代码中的安全风险和漏洞
- 隐私报告(Privacy Report):分析代码库如何使用敏感数据,重点关注数据主体和第三方服务
- 数据流报告(Data Flow Report):详细展示数据类型及相关组件在代码中的流动路径
每种报告都有其默认格式和特定用途,您可以根据实际需求选择合适的报告类型。
二、安全报告详解 🔒
基本信息与使用方法
安全报告是Bearer最常用的报告类型,使用命令:bearer scan . --report security,默认输出格式为JSON。它能快速识别代码库中的安全风险和漏洞,采用SAST(静态应用安全测试)扫描方式。
报告内容解析
安全报告为每个违规项提供详细信息,包括受影响的文件、代码行号以及周围代码片段。以下是对OWASP Juice Shop应用运行安全报告的摘录:
HIGH: Sensitive data stored in HTML local storage detected. [CWE-312] https://docs.bearer.com/reference/rules/javascript_lang_session To skip this rule, use the flag --skip-rule=javascript_lang_session File: juice-shop/frontend/src/app/login/login.component.ts:102 102 localStorage.setItem('email', this.user.email) ===================================== 58 checks, 38 findings CRITICAL: 15 (CWE-22, CWE-798, CWE-89) HIGH: 23 (CWE-312, CWE-327, CWE-548) MEDIUM: 0 LOW: 0 WARNING: 0风险等级说明
安全报告将风险分为多个等级,帮助您优先处理严重问题:
- CRITICAL:严重风险,如CWE-22(路径遍历)、CWE-798(硬编码凭证)等
- HIGH:高风险,如CWE-312(敏感数据明文存储)、CWE-327(使用弱加密算法)等
- MEDIUM:中等风险
- LOW:低风险
- WARNING:警告
只有当发现CRITICAL或HIGH级别的风险时,报告才会返回退出状态1,方便集成到CI/CD流程中。
报告输出格式
安全报告支持多种输出格式,可通过--format参数指定:
- JSON(默认)
- YAML
- SARIF(适用于代码扫描工具集成)
- HTML(适合分享给非技术团队)
三、隐私报告详解 🕵️♂️
基本信息与使用方法
隐私报告关注代码库如何使用敏感数据,使用命令:bearer scan . --report privacy,默认输出格式为CSV。它强调数据主体和第三方服务,帮助您满足隐私法规要求。
数据主体部分
报告显示每个检测到的数据主体及其关联的数据类型,包括检测总数和规则发现计数:
"Subjects": [ { "subject_name": "User", "name": "Telephone Number", "detection_count": 14, "critical_risk_finding_count": 0, "high_risk_finding_count": 0, "medium_risk_finding_count": 0, "low_risk_finding_count": 0, "rules_passed_count": 11 } ]第三方服务部分
展示发送到或由已知第三方服务处理的数据主体和数据类型:
"ThirdParty": [ { "third_party": "Sentry", "subject_name": "User", "data_types": [ "Email Address" ], "critical_risk_finding_count": 1, "high_risk_finding_count": 0, "medium_risk_finding_count": 0, "low_risk_finding_count": 0, "rules_passed_count": 0 } ]自定义数据主体
默认情况下,Bearer CLI将所有主体映射到"User",但您可以通过--data-subject-mapping标志提供自定义映射文件来覆盖此设置:
bearer scan . --report=privacy --data-subject-mapping=/path/to/mappings.json自定义映射文件应遵循subject_mapping.json使用的格式,可将主体映射为"Customer"、"Employee"、"Patient"等更具体的类别。
四、数据流报告详解 🌊
基本信息与使用方法
数据流报告分解代码中检测到的数据类型和相关组件,使用命令:bearer scan . --report dataflow,默认输出格式为JSON。它突出显示处理个人和敏感数据的代码区域,以及这些数据可能暴露的位置。
报告内容解析
数据流报告提供比隐私报告更详细的洞察,可用于构建数据目录等文档。以下是"Email Address"数据类型在代码中的处理位置示例:
{ "data_types": [ { "name": "Email Address", "detectors": [ { "name": "ruby", "locations": [ { "filename": "app/controllers/application_controller.rb", "line_number": 35, "field_name": "email", "object_name": "current_user", "subject_name": "User" }, ... ] }, { "name": "schema_rb", "locations": [ { "filename": "db/schema.rb", "line_number": 91, "stored": true, "field_name": "email", "object_name": "users", "subject_name": "User" } ] } ] } ] }五、报告格式与输出选项 ⚙️
支持的输出格式
Bearer报告支持多种输出格式,可通过--format参数指定:
- JSON:适合机器处理和进一步分析
- YAML:易于阅读的结构化格式
- CSV:隐私报告默认格式,适合电子表格处理
- SARIF:用于与代码扫描工具集成
- HTML:生成美观的网页报告,便于分享
输出到文件
使用--output标志将报告写入文件:
# 生成HTML格式的安全报告 bearer scan . --report security --format html --output security-report.html # 生成JSON格式的隐私报告 bearer scan . --report privacy --format json --output privacy-report.jsonGitHub集成示例
Bearer可以生成适合GitHub代码扫描的SARIF格式报告:
您可以将Bearer集成到GitHub Actions工作流中,自动进行安全扫描并在PR中显示结果:
六、总结与最佳实践 🚀
Bearer提供了多种报告类型,帮助您全面了解代码中的安全和隐私风险:
- 安全报告:优先处理CRITICAL和HIGH级别的安全漏洞
- 隐私报告:了解敏感数据使用情况,确保合规性
- 数据流报告:追踪敏感数据在代码中的流动路径
最佳实践建议:
- 将Bearer扫描集成到CI/CD流程中,自动检测代码变更引入的风险
- 定期生成HTML格式报告,与团队共享安全状态
- 使用自定义数据主体映射,获得更准确的隐私报告
- 结合不同报告类型,全面了解代码安全状况
通过充分利用Bearer的报告功能,您可以更有效地管理代码安全风险,保护敏感数据,并确保合规性。要了解更多关于报告生成、格式选择和输出选项的信息,请参阅命令参考文档。
【免费下载链接】bearerCode security scanning tool (SAST) to discover, filter and prioritize security and privacy risks.项目地址: https://gitcode.com/gh_mirrors/be/bearer
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
