Bảo mật ứng dụng Ruby on Rails của bạn: So sánh Brakeman, Grype và Bundler Audit

Bảo mật ứng dụng Ruby on Rails của bạn với 3 công cụ này! Brakeman quét mã nguồn của bạn, Grype kiểm tra các phụ thuộc của dự án, và Bundler Audit kiểm tra các gem Ruby - tất cả cùng hoạt động để củng cố bảo mật cho ứng dụng của bạn.

Hôm nay chúng ta sẽ nói về một số công cụ tuyệt vời giúp giữ an toàn cho hệ thống Ruby khỏi những kẻ xấu. Hãy tập trung vào Brakeman và so sánh nó với một vài công cụ khác.

Brakeman là gì?

Brakeman giống như một thám tử thông minh cho mã Ruby on Rails của bạn. Nó giám sát chương trình của bạn và cố gắng phát hiện bất kỳ vấn đề bảo mật nào trước khi chúng trở thành một vấn đề thực sự. Nó giống như một người bạn kiểm tra bài tập về nhà của bạn để tìm lỗi trước khi nộp. Để biết thêm thông tin, hãy truy cập https://github.com/presidentbeef/brakeman

Brakeman hoạt động như thế nào?

Brakeman đọc mã của bạn và tìm kiếm các mẫu có khả năng nguy hiểm. Ví dụ, nếu bạn vô tình để lại một "cửa hậu" cho phép tin tặc xâm nhập, Brakeman sẽ nhận thấy và thông báo cho bạn biết. Nó hoạt động rất nhanh và cho phép bạn xem xét toàn bộ dự án chỉ trong vài giây!

Brakeman so với các công cụ khác

Có những công cụ khác hoạt động tương tự. Hãy xem xét hai trong số chúng:

Grype https://github.com/anchore/grype

Grype là một trình quét bảo mật tổng quát hơn.
Nó có thể giám sát các dự án, không chỉ Ruby. Nó hỗ trợ Ruby (Gems), Java (JAR, WAR, EAR, JPI, HPI), JavaScript (NPM, Yarn), Python (Egg, Wheel, Poetry, requirements.txt/setup.py files), Dotnet (deps.json), Golang (go.mod), PHP (Composer), Rust (Cargo)
Grype tập trung vào việc tìm kiếm lỗ hổng trong các gói hoặc thư viện bạn sử dụng.

Bundler Audit https://github.com/rubysec/bundler-audit

Công cụ này dành riêng cho các dự án Ruby.
Nó kiểm soát các gem (thư viện) bạn sử dụng trong dự án của mình.
Bundler Audit cho bạn biết nếu bất kỳ gem nào của bạn có vấn đề bảo mật được phát hiện.

Chúng khác nhau như thế nào?

Brakeman xem xét mã của BẠN để tìm vấn đề.
Grype theo dõi các công cụ và thư viện bạn sử dụng, cho nhiều loại dự án.
Bundler audit chỉ kiểm tra các gem Ruby dựa trên thông tin đã biết.

Tại sao nên sử dụng Brakeman?

Brakeman rất tuyệt vì:

Nó nhanh
Nó dễ sử dụng
Nó tìm ra vấn đề trong mã BẠN viết
Nó đưa ra các gợi ý hữu ích về cách khắc phục vấn đề

Thiết lập và chạy trình quét bảo mật Brakeman

Thêm Brakeman vào dự án của bạn:
gem install brakeman
Đối với người dùng rbenv, làm mới môi trường:
rm -rf ~/.rbenv/shims && rbenv rehash
Tạo báo cáo bảo mật:
brakeman -o brakeman_report.html
Điều này sẽ tạo ra một tệp HTML với kết quả quét.

Hãy nhớ rằng, không có công cụ nào là hoàn hảo, nhưng việc sử dụng Brakeman cùng với các công cụ khác như Grype và Bundler Audit có thể làm cho các dự án Ruby của bạn an toàn hơn nhiều.

Hỗ trợ phát triển website

Trang web này được tạo ra để cung cấp thông tin hữu ích và miễn phí cho cộng đồng. Để duy trì và phát triển, chúng tôi cần sự hỗ trợ từ các bạn.

Nếu thấy trang web có giá trị, bạn có thể đóng góp bất kỳ khoản nào, dù là 20k hay 50k, để giúp trang tiếp tục hoạt động. Sự đóng góp của bạn sẽ giúp chi trả cho chi phí vận hành, bảo trì và nâng cao nội dung. Mọi sự ủng hộ đều rất được trân trọng và sẽ giúp chúng tôi phát triển bền vững.

Chân thành cảm ơn sự hỗ trợ của bạn!