Ciao, sono nuovo a Ruby on Rails e Discourse.
Volevo verificare la sicurezza del codice facendo dei test di audit. Sono consapevole che a volte può rilevare falsi problemi.
Mi stavo chiedendo se Discourse avesse già integrato dei test di audit. Ho provato a integrare Brakeman e mi ha dato un sacco di avvisi diversi come SQL injection, valutazione pericolosa e bypass della verifica SSL. Sono nel processo di verifica della validità di ogni avviso, ma a volte sono incerto se scartare o meno l’avviso.
Benvenuto!
Non sembra un ottimo primo compito da affrontare se non hai molta familiarità con Rails e Discourse.
Il team di Discourse prende la sicurezza molto seriamente e, oltre al loro team di sviluppatori a tempo pieno, ha HackerOne attivamente alla ricerca di problemi di sicurezza: HackerOne. Vedi anche How secure is Discourse?
A meno che tu non stia testando la sicurezza del codice che tu hai sviluppato, ti consiglio di dedicare il tuo tempo a quasi qualsiasi altra cosa. La probabilità che uno strumento automatizzato identifichi un problema di sicurezza legittimo è molto, molto vicina allo zero. Ci sono un sacco di persone con un miglior senso dei problemi di sicurezza in Rails e Discourse rispetto a te che stanno attivamente lavorando sul lavoro.
2 Mi Piace
Grazie per la rapida risposta.
L’ho visto. Anche se mi fido completamente della sicurezza di Discourse, ho dovuto eseguire un audit per la policy aziendale per facilitare il processo di integrazione. Tutto il resto sembra perfetto, ecco perché mi stavo chiedendo se includessero funzionalità di test di audit.
1 Mi Piace
Ah. Capisco. Beh, se trovi qualcosa, potresti guadagnare qualche soldo extra! 
Penso che la maggior parte di quei test venga eseguita nelle specs di Rails e nei test qunit, ma sembra che io non possa aiutarti in questo caso.
1 Mi Piace
okok, ma grazie comunque per il tuo aiuto
1 Mi Piace