潜むセキュリティ問題を事前に暴きだす「Rails Brakeman」
Rails BrakemanはRailsアプリケーションのリポジトリを読み込んでセキュリティチェックしてくれるサービスです。
セキュアなプログラミングをするためのノウハウは幾つかあります。つまりそれに沿って現状のコードを確認すれば、万一のセキュリティインシデントを未然に防げるかも知れません。Railsアプリケーションについてそれを行うのがRails Brakemanです。
プロジェクト詳細。こうやって一覧で確認できます。
セキュリティウォーニング、モデル、ビューのセキュリティウォーニングが出ています。
クロスサイトスクリプティング関係のウォーニングが多いです。
クリックするとどの行における警告か確認できます。
Rails Brakemanでは盲目的にパラメータを放り込んだり、その結果をそのままリダイレクトに使ったりすることを禁じています。なおこのチェックはバグを発見している訳ではなく、セキュリティインシデントにつながりそうなコードを機械的に見つけています。より良いコードを目指すならチェックしておくべきでしょう。
Rails BrakemanはRuby/Ruby on Rails製のソフトウェア(ソースコードは公開されていますがライセンスは明記されていません)です。
MOONGIFTはこう見る
Rails Brakemanは言わばノウハウのオープン化です。オープンソース・ソフトウェアはコードをフリーにしましたが、さらにノウハウをコード化して盛り込む動きがあります。そうしたノウハウの公開を通じてユーザは苦もなくテクニックを活用できるようになります。
単純にテキストにするだけでは伝わりづらいことも、システムとしてラッピングすれば一目瞭然になります。企業においてオープンソース・ソフトウェアを公開したいと思った場合にも参考になるでしょう。オープンソース・ソフトウェアであれば外部公開できない場合も内々だけで使えるので利用にとって利点が大きいはずです。