Rails 在线代码安全检查

flyerhzm · 2012年05月23日 · 最后由 daqing 回复于 2012年06月02日 · 4106 次阅读

我刚刚发布了rails-brakeman.com,它提供了在线 rails 项目代码安全检查,基于 Justin 的brakeman gem。

rails developers 总是很快的开发项目,而往往留下一些安全问题,大家应该还记得 github 的 mass assignment 问题吧,rails-brakeman.com 可以帮助你在项目上线之前找出这些安全问题。

awesome tools as always <3

这个相比 brakeman gem 包功能多在哪呢,我看 brakeman 用起来挺方便啊

awesome 啊,用爬虫把链接爬一边吗?可以考虑加一个策略接口吗?爬的时候我可以定制一些策略做针对性的处理,比如内容过滤。

@diudiutang 一个人小项目当然没问题,但是如果在一个 team 就要考虑如何让团队的人都了解代码的安全状况,当然还得保证项目上线以前修复必要的安全问题,这道理就和为什么需要一个 ci 系统,而不是只在自己的机器上运行测试一样。

@johnsonz 没有用到爬虫

试了一下 Ruby China 的代码,立马发现问题了,哈哈哈 http://rails-brakeman.com/repositories/9-ruby-china-ruby-china/builds/41#.T7xbPY69nMI

有人想在@huacnlee 修复之前 hack 一下不?:-)

#6 楼 @huacnlee 这些都是潜在的漏洞,并不一定真存在。

Eval 这个漏洞应该是很危险的,换成了别的方式

raw 这个警告不太准确

#7 楼 @flyerhzm 已经修复发布啦,哈哈哈

@flyerhzm 今天好好试试

@flyerhzm 如何 build 检查呢?webhook URL 已加!

@wxianfeng 有代码 push 到 github 就可以了

提个建议:刚刚想检测一下我的 private repo,然后顺利添加了一个,但是后来收到邮件,说 private repo 没法检测。

我觉得如果在添加 private repo 的时候,就把邮件提醒中的内容,显示在 Web 界面上,告诉用户,应该会更好一点。

需要 登录 后方可回复, 如果你还没有账号请 注册新账号