Security scan no seu Rails com Brakeman via Docker
Security scan no seu Rails com Brakeman via Docker
Brakeman é um analisador estático que pega buracos clássicos em Rails: SQL injection, mass-assignment, XSS, redirect aberto. Eu prefiro rodar via Docker pra não poluir o Gemfile com dependência de scan e pra usar a versão mais nova sem mexer no projeto.
1
docker run -v ~/work/overgrad:/code presidentbeef/brakeman --color
Trocando ~/work/overgrad pelo caminho do seu repo, ele monta o código no container e roda o scan.
Para colocar em CI
A mesma imagem funciona como step em qualquer CI. Em GitHub Actions, por exemplo, dá pra rodar como container e falhar o build se aparecer warning de severidade alta.
1
2
- name: Brakeman
run: docker run --rm -v $:/code presidentbeef/brakeman -w2 --no-progress
-w2 filtra avisos de severidade média/alta (-w3 só os altos).
Esta postagem está licenciada sob
CC BY 4.0
pelo autor.