問題タブ [brakeman]

Rails アプリのモデルには、ユーザーが外部サイトのアドレスを入力できる URL 列があります。

URL はページに表示されます。クリックすると、その URL へのルーティングに加えて、アプリでいくつかのアクションを実行する必要があります。そこで、コントローラーアクションを次のように定義しました

そしてビューで

Brakeman は (予想どおり) 警告を発しています

通常、これに対する解決策は、リダイレクトに追加only_path: trueして、現在のアプリ内でのみリダイレクトを許可することです。ただし、この場合、望ましい動作は外部サイトに移動することです。

私の質問

1. 悪意のあるコードを入力して Object.url 列からアクティブ化できないようにするために講じるべき手順はありますか (つまり、クリック コントローラー アクションは、目的のアプリ内アクションとナビゲーションをアーカイブするための最良の方法ですか)?
2. これが正しいアプローチである場合、この特定の問題が報告されないように Brakeman を静かにする方法はありますか?

の下にコントローラーsample_controller.rbと関連するビューがありますapp/views/sample。

次に、breakman を使用してセキュリティの問題をスキャンしたいと思います。私の最初のアプローチは、以下のように個別にスキャンを行うことです。

そして2番目のアプローチは、以下のように同じコマンドでコントローラーとビューの両方をスキャンすることです:

問題は、両方のアプローチで異なる結果が得られることです。

これは正しいアプローチです。私にお知らせください。

私のプロジェクトのいくつかのライブラリに次のコードがあり、これは Sideqik Worker で実行されます。

プロジェクトで Brakeman (3.2.1) を実行すると、次のセキュリティ警告が表示されます。

そして、この部分が強調表示されているため、警告が発生すると思います。

警告は、警告の詳細についてこのページにもリンクしていますが、対処方法が見つかりませんでした: http://brakemanscanner.org/docs/warning_types/command_injection/

他の投稿やページを見てこれに対する解決策を見つけようとしましたが、運がなかったので、この投稿です。

Brakeman によって報告されたこの潜在的な脆弱性を修正するには、この状況にどのように対処すればよいですか?

前もって感謝します！

私は Brakeman gem を使用して、Rails アプリケーション コードのセキュリティの問題を見つけています。

ブレーキマンは、保護されていない大量割り当てセキュリティの問題を私に与えています。この問題を引き起こしている行の下。

しかし、私はここで大規模な割り当てを行っていないのに、なぜブレーキマンが私に大規模な割り当てのセキュリティの問題を与えているのか.

ありがとう、サンジェイ・サランケ

セキュリティの脆弱性を特定するために、自分のコードで Brakeman を実行しようとしています。

gem をインストールし、Rails 4.2.4 アプリケーションのルート フォルダーにいます。

ただし、次を使用して Brakeman を実行しようとすると:

ターミナルに次のメッセージが返されます。

Rails アプリケーションへのパスを指定してください。

これは、この gem の Rails 環境でどのように行われますか?

brakemanアプリのセキュリティ チェックにを使用しています。偽陽性であるいくつかのメソッドをスキップし Mark Methods as Safeたいのですが、 to メソッドを追加して、アプリケーションのスキャンflag中にそのメソッドをスキップしたいと考えています。brakeman

例：

どのタグをスキップする必要があるかを管理できるファイルを追加したい。

どうすればそれができるか知っていますか？あなたの助けに感謝します。

と統合brakemanしましjenkinsた。多くの警告があり、現在はすべてスキップしたいと考えています。カウントが値を超えた場合、ビルドは失敗するはずthresholdです。現在、私は と についてあまり詳しくありませJenkinsんbrakeman。助けていただければ幸いです。