Hola, soy nuevo en Ruby on Rails y Discourse.
Quería verificar la seguridad del código realizando algunas pruebas de auditoría. Soy consciente de que a veces puede detectar problemas falsamente.
Me preguntaba si Discourse ya tenía alguna prueba de auditoría integrada. Intenté integrar Brakeman y me dio una serie de advertencias diferentes como inyecciones SQL, evaluación peligrosa y omisión de verificación SSL. Estoy en proceso de verificar la validez de cada advertencia, pero a veces no estoy seguro de si debo descartar la advertencia o no.
¡Bienvenido!
Esa no parece una muy buena primera tarea si no estás muy familiarizado con rails y Discourse.
El equipo de Discourse se toma la seguridad muy en serio y, además de su equipo de desarrolladores a tiempo completo, cuenta con HackerOne buscando activamente problemas de seguridad: HackerOne. Véase también How secure is Discourse?
A menos que estés probando la seguridad del código que tú desarrollaste, te recomiendo que dediques tu tiempo a casi cualquier otra cosa. La probabilidad de que una herramienta automatizada identifique un problema de seguridad legítimo es muy, muy, cercana a cero. Hay un montón de gente con un mejor sentido de los problemas de seguridad en Rails y Discourse que tú, que están trabajando activamente en ello.
2 Me gusta
Gracias por la rápida respuesta.
Lo he visto. Incluso si confío plenamente en la seguridad de Discourse, tuve que realizar una auditoría por política de la empresa para facilitar el proceso de integración. Todo lo demás parece perfecto, por eso me preguntaba si incluían funcionalidades de pruebas de auditoría.
1 me gusta
Ah. Ya veo. Bueno, si encuentras algo, ¡quizás ganes algo de dinero extra! 
Creo que la mayor parte de esas pruebas se realizan en las specs de Rails y en pruebas qunit, pero parece que no puedo ayudarte en esto.
1 me gusta
ok, pero aún así, gracias por tu ayuda
1 me gusta