您好,我是 Ruby on Rails 和 Discourse 的新手。
我想通过一些审计测试来验证代码的安全性。我知道它有时会误报问题。
我想知道 Discourse 是否已经集成了任何审计测试。我尝试集成 Brakeman,它给了我很多不同的警告,比如 SQL 注入、危险评估和 SSL 验证绕过。我正在验证每个警告的有效性,但有时不确定是否应该忽略该警告。
欢迎!
如果你对 Rails 和 Discourse 不太熟悉,这似乎不是一个很好的首要任务。
Discourse 团队非常重视安全,除了他们的全职开发人员团队外,还有 HackerOne 积极寻找安全问题:HackerOne How secure is Discourse?
除非你正在测试 你 开发的代码的安全性,否则我建议你把时间花在其他任何事情上。自动化工具发现合法安全问题的可能性非常非常接近于零。有很多人比你更了解 Rails 和 Discourse 中的安全问题,并且正在积极地从事这项工作。
2 个赞
感谢您快速回复。
我已看到。即使我完全信任 Discourse 的安全性,我也必须根据公司政策进行审计,以简化集成过程。其他一切似乎都很完美,所以我想知道他们是否包含审计测试功能。
1 个赞
啊。我明白了。嗯,如果你发现了什么,你也许可以赚点外快!
我认为大部分测试都是在 rails specs 和 qunit 测试中完成的,但看来我在这方面帮不上忙。
1 个赞
好的,但仍然感谢您的帮助
1 个赞