Olá, sou novo em Ruby on Rails e Discourse.
Eu queria verificar a segurança do código fazendo alguns testes de auditoria. Sei que às vezes pode detectar problemas falsamente.
Eu estava me perguntando se o Discourse já tinha algum teste de auditoria integrado. Tentei integrar o Brakeman e ele me deu um monte de avisos diferentes como injeções de SQL, avaliação perigosa e bypass de verificação SSL. Estou no processo de verificar a validade de cada aviso, mas às vezes fico incerto se devo ou não descartar o aviso.
Bem-vindo!
Essa não parece ser uma boa primeira tarefa se você não está muito familiarizado com Rails e Discourse.
A equipe do Discourse leva a segurança muito a sério e, além de sua equipe de desenvolvedores em tempo integral, tem o HackerOne ativamente procurando por problemas de segurança: HackerOne. Veja também How secure is Discourse?
A menos que você esteja testando a segurança do código que você desenvolveu, eu recomendo que você gaste seu tempo em quase qualquer outra coisa. A probabilidade de uma ferramenta automatizada identificar um problema de segurança legítimo é muito, muito próxima de zero. Há um monte de gente com um senso melhor de problemas de segurança em Rails e Discourse do que você, que estão ativamente trabalhando nisso.
2 curtidas
Obrigado pela rápida resposta.
Eu vi isso. Mesmo que eu confie totalmente na segurança do Discourse, tive que realizar uma auditoria por política da empresa para facilitar o processo de integração. Todo o resto parece perfeito, é por isso que eu estava me perguntando se eles incluem funcionalidades de teste de auditoria.
1 curtida
Ah. Entendi. Bem, se você encontrar algo, pode ganhar um dinheiro extra! 
Acho que a maior parte desses testes é feita em specs do Rails e testes qunit, mas parece que não posso ajudar nisso.
1 curtida
ok, mas ainda assim, obrigado pela sua ajuda
1 curtida