Hallo, ich bin neu bei Ruby on Rails und Discourse.
Ich wollte die Sicherheit des Codes durch Audittests überprüfen. Mir ist bewusst, dass dies manchmal fälschlicherweise Probleme erkennen kann.
Ich habe mich gefragt, ob Discourse bereits über integrierte Audittests verfügt. Ich habe versucht, Brakeman zu integrieren, und es gab mir eine Reihe verschiedener Warnungen wie SQL-Injektionen, gefährliche Auswertungen und SSL-Verifizierungs-Umgehung. Ich bin dabei, die Gültigkeit jeder Warnung zu überprüfen, bin mir aber manchmal unsicher, ob ich die Warnung verwerfen soll oder nicht.
Willkommen!
Das scheint keine sehr gute erste Aufgabe zu sein, wenn man sich mit Rails und Discourse nicht gut auskennt.
Das Discourse-Team nimmt die Sicherheit sehr ernst und hat neben seinem Team von Vollzeitentwicklern auch HackerOne aktiv auf der Suche nach Sicherheitsproblemen: HackerOne. Siehe auch How secure is Discourse?
Wenn Sie nicht die Sicherheit von Code testen, den Sie entwickelt haben, empfehle ich Ihnen, Ihre Zeit mit fast allem anderen zu verbringen. Die Wahrscheinlichkeit, dass ein automatisiertes Tool ein legitimes Sicherheitsproblem identifiziert, ist sehr, sehr gering. Es gibt eine Reihe von Leuten, die ein besseres Gespür für Sicherheitsprobleme in Rails und Discourse haben als Sie, die aktiv an dieser Aufgabe arbeiten.
2 „Gefällt mir“
Vielen Dank für die schnelle Antwort.
Das habe ich gesehen. Selbst wenn ich der Sicherheit von Discourse voll vertraue, musste ich aus Gründen der Unternehmensrichtlinien eine Prüfung durchführen, um den Integrationsprozess zu erleichtern. Alles andere scheint perfekt zu sein, deshalb habe ich mich gefragt, ob sie Audit-Testfunktionen beinhalten.
1 „Gefällt mir“
Ah. Ich verstehe. Nun, wenn Sie etwas finden, könnten Sie nebenbei etwas Geld verdienen! 
Ich denke, die meisten dieser Tests werden in Rails specs und Qunit-Tests durchgeführt, aber es sieht so aus, als ob ich hier keine Hilfe bin.
1 „Gefällt mir“
Ok, aber trotzdem vielen Dank für deine Hilfe
1 „Gefällt mir“