Benvenuto!
Non sembra un ottimo primo compito da affrontare se non hai molta familiarità con Rails e Discourse.
Il team di Discourse prende la sicurezza molto seriamente e, oltre al loro team di sviluppatori a tempo pieno, ha HackerOne attivamente alla ricerca di problemi di sicurezza: HackerOne. Vedi anche How secure is Discourse?
A meno che tu non stia testando la sicurezza del codice che tu hai sviluppato, ti consiglio di dedicare il tuo tempo a quasi qualsiasi altra cosa. La probabilità che uno strumento automatizzato identifichi un problema di sicurezza legittimo è molto, molto vicina allo zero. Ci sono un sacco di persone con un miglior senso dei problemi di sicurezza in Rails e Discourse rispetto a te che stanno attivamente lavorando sul lavoro.