Audit testant le code

Salut, je suis nouveau sur Ruby on Rails et Discourse.
Je voulais vérifier la sécurité du code en effectuant des tests d’audit. Je sais que cela peut parfois détecter de faux problèmes.
Je me demandais si Discourse avait déjà des tests d’audit intégrés. J’ai essayé d’intégrer Brakeman et il m’a donné un tas d’avertissements différents comme des injections SQL, une évaluation dangereuse et un contournement de la vérification SSL. Je suis en train de vérifier la validité de chaque avertissement, mais je ne suis parfois pas sûr si je dois ignorer ou non l’avertissement.

Bienvenue !

Cela ne semble pas être une très bonne première tâche à entreprendre si vous n’êtes pas très familier avec Rails et Discourse.
L’équipe de Discourse prend la sécurité très au sérieux et, en plus de son équipe de développeurs à temps plein, fait appel à HackerOne pour rechercher activement des problèmes de sécurité : HackerOne. Voir aussi How secure is Discourse?
À moins que vous ne testiez la sécurité du code que vous avez développé, je vous recommande de consacrer votre temps à presque tout le reste. La probabilité qu’un outil automatisé identifie un problème de sécurité légitime est très, très proche de zéro. Il y a un tas de personnes qui ont un meilleur sens des problèmes de sécurité dans Rails et Discourse que vous et qui travaillent activement sur le sujet.

Merci pour votre réponse rapide.

Je l’ai vu. Même si je fais entièrement confiance à la sécurité de Discourse, j’ai dû effectuer un audit pour des raisons de politique d’entreprise afin de faciliter le processus d’intégration. Tout le reste semble parfait, c’est pourquoi je me demandais s’ils incluaient des fonctionnalités de test d’audit.

Ah. Je vois. Eh bien, si vous trouvez quelque chose, vous pourriez gagner un peu d’argent sur le côté !

Je pense que la plupart de ces tests sont effectués dans les specs de Rails et les tests QUnit, mais il semble que je ne puisse pas vous aider sur ce coup.

D’accord, mais merci quand même pour votre aide.