Bearer报告格式详解如何解读安全扫描结果和统计信息【免费下载链接】bearerCode security scanning tool (SAST) to discover, filter and prioritize security and privacy risks.项目地址: https://gitcode.com/gh_mirrors/be/bearerBearer是一款强大的代码安全扫描工具SAST能够帮助开发团队发现、筛选和优先处理代码中的安全和隐私风险。本文将详细解析Bearer的报告格式帮助您轻松理解安全扫描结果和统计信息从而更有效地管理代码安全风险。一、Bearer报告类型概览 Bearer CLI可以从同一基础扫描生成多种类型的报告满足不同场景的需求安全报告Security Report专注于发现代码中的安全风险和漏洞隐私报告Privacy Report分析代码库如何使用敏感数据重点关注数据主体和第三方服务数据流报告Data Flow Report详细展示数据类型及相关组件在代码中的流动路径每种报告都有其默认格式和特定用途您可以根据实际需求选择合适的报告类型。二、安全报告详解 基本信息与使用方法安全报告是Bearer最常用的报告类型使用命令bearer scan . --report security默认输出格式为JSON。它能快速识别代码库中的安全风险和漏洞采用SAST静态应用安全测试扫描方式。报告内容解析安全报告为每个违规项提供详细信息包括受影响的文件、代码行号以及周围代码片段。以下是对OWASP Juice Shop应用运行安全报告的摘录HIGH: Sensitive data stored in HTML local storage detected. [CWE-312] https://docs.bearer.com/reference/rules/javascript_lang_session To skip this rule, use the flag --skip-rulejavascript_lang_session File: juice-shop/frontend/src/app/login/login.component.ts:102 102 localStorage.setItem(email, this.user.email) 58 checks, 38 findings CRITICAL: 15 (CWE-22, CWE-798, CWE-89) HIGH: 23 (CWE-312, CWE-327, CWE-548) MEDIUM: 0 LOW: 0 WARNING: 0风险等级说明安全报告将风险分为多个等级帮助您优先处理严重问题CRITICAL严重风险如CWE-22路径遍历、CWE-798硬编码凭证等HIGH高风险如CWE-312敏感数据明文存储、CWE-327使用弱加密算法等MEDIUM中等风险LOW低风险WARNING警告只有当发现CRITICAL或HIGH级别的风险时报告才会返回退出状态1方便集成到CI/CD流程中。报告输出格式安全报告支持多种输出格式可通过--format参数指定JSON默认YAMLSARIF适用于代码扫描工具集成HTML适合分享给非技术团队三、隐私报告详解 ️‍♂️基本信息与使用方法隐私报告关注代码库如何使用敏感数据使用命令bearer scan . --report privacy默认输出格式为CSV。它强调数据主体和第三方服务帮助您满足隐私法规要求。数据主体部分报告显示每个检测到的数据主体及其关联的数据类型包括检测总数和规则发现计数Subjects: [ { subject_name: User, name: Telephone Number, detection_count: 14, critical_risk_finding_count: 0, high_risk_finding_count: 0, medium_risk_finding_count: 0, low_risk_finding_count: 0, rules_passed_count: 11 } ]第三方服务部分展示发送到或由已知第三方服务处理的数据主体和数据类型ThirdParty: [ { third_party: Sentry, subject_name: User, data_types: [ Email Address ], critical_risk_finding_count: 1, high_risk_finding_count: 0, medium_risk_finding_count: 0, low_risk_finding_count: 0, rules_passed_count: 0 } ]自定义数据主体默认情况下Bearer CLI将所有主体映射到User但您可以通过--data-subject-mapping标志提供自定义映射文件来覆盖此设置bearer scan . --reportprivacy --data-subject-mapping/path/to/mappings.json自定义映射文件应遵循subject_mapping.json使用的格式可将主体映射为Customer、Employee、Patient等更具体的类别。四、数据流报告详解 基本信息与使用方法数据流报告分解代码中检测到的数据类型和相关组件使用命令bearer scan . --report dataflow默认输出格式为JSON。它突出显示处理个人和敏感数据的代码区域以及这些数据可能暴露的位置。报告内容解析数据流报告提供比隐私报告更详细的洞察可用于构建数据目录等文档。以下是Email Address数据类型在代码中的处理位置示例{ data_types: [ { name: Email Address, detectors: [ { name: ruby, locations: [ { filename: app/controllers/application_controller.rb, line_number: 35, field_name: email, object_name: current_user, subject_name: User }, ... ] }, { name: schema_rb, locations: [ { filename: db/schema.rb, line_number: 91, stored: true, field_name: email, object_name: users, subject_name: User } ] } ] } ] }五、报告格式与输出选项 ⚙️支持的输出格式Bearer报告支持多种输出格式可通过--format参数指定JSON适合机器处理和进一步分析YAML易于阅读的结构化格式CSV隐私报告默认格式适合电子表格处理SARIF用于与代码扫描工具集成HTML生成美观的网页报告便于分享输出到文件使用--output标志将报告写入文件# 生成HTML格式的安全报告 bearer scan . --report security --format html --output security-report.html # 生成JSON格式的隐私报告 bearer scan . --report privacy --format json --output privacy-report.jsonGitHub集成示例Bearer可以生成适合GitHub代码扫描的SARIF格式报告您可以将Bearer集成到GitHub Actions工作流中自动进行安全扫描并在PR中显示结果六、总结与最佳实践 Bearer提供了多种报告类型帮助您全面了解代码中的安全和隐私风险安全报告优先处理CRITICAL和HIGH级别的安全漏洞隐私报告了解敏感数据使用情况确保合规性数据流报告追踪敏感数据在代码中的流动路径最佳实践建议将Bearer扫描集成到CI/CD流程中自动检测代码变更引入的风险定期生成HTML格式报告与团队共享安全状态使用自定义数据主体映射获得更准确的隐私报告结合不同报告类型全面了解代码安全状况通过充分利用Bearer的报告功能您可以更有效地管理代码安全风险保护敏感数据并确保合规性。要了解更多关于报告生成、格式选择和输出选项的信息请参阅命令参考文档。【免费下载链接】bearerCode security scanning tool (SAST) to discover, filter and prioritize security and privacy risks.项目地址: https://gitcode.com/gh_mirrors/be/bearer创作声明：本文部分内容由AI辅助生成（AIGC），仅供参考