安全 Bundler Audit for Vulnerable Checking

hooopo · 2013年02月27日 · 最后由 hooopo 回复于 2015年12月25日 · 3292 次阅读

地址:https://github.com/postmodern/bundler-audit

bundler outdated可以查看哪些 gem 版本不是最新的。但是这东西用处不大,因为没有给出具体的 changelog,并不清楚是什么类型的更新,是 bug fix 或是 new feature 或是 security fix。

而 bundler-audit 给出了我们最关心的 security fix 版本信息。

它的原理是根据 Ruby 相关的CVE 资料库和当前使用的 gem 版本去检测项目使用的 gem 是否含有漏洞。

说实话,brakeman 一直有这样的功能,并且功能更强大。不过 brakeman 是 rails only 的,bundler audit 可以为非 rails 项目提供检测,包括 gem。

refs:

需要 登录 后方可回复, 如果你还没有账号请 注册新账号