Bem-vindo!
Essa não parece ser uma boa primeira tarefa se você não está muito familiarizado com Rails e Discourse.
A equipe do Discourse leva a segurança muito a sério e, além de sua equipe de desenvolvedores em tempo integral, tem o HackerOne ativamente procurando por problemas de segurança: HackerOne. Veja também How secure is Discourse?
A menos que você esteja testando a segurança do código que você desenvolveu, eu recomendo que você gaste seu tempo em quase qualquer outra coisa. A probabilidade de uma ferramenta automatizada identificar um problema de segurança legítimo é muito, muito próxima de zero. Há um monte de gente com um senso melhor de problemas de segurança em Rails e Discourse do que você, que estão ativamente trabalhando nisso.