我有一个控制器sample_controller.rb和相关的视图app/views/sample。
现在我想使用brakeman 扫描安全问题。我的第一种方法是单独进行扫描,如下所示:
brakeman --only-files app/controller/sample_controller.rb
brakeman --only-files app/views/sample
第二种方法是在同一命令中扫描控制器和视图,如下所示:
brakeman --only-files app/controller/sample_controller.rb , app/views/sample
问题是我在这两种方法中得到了不同的结果。
这是正确的方法。请告诉我。
传入多个文件的正确方法是用逗号分隔它们,如帮助文档中所述:
--only-files file1,path2,etc Process only these files/directories. Directories are application relative and must end in "/"
但是,您非常不鼓励使用这种方法。当 Brakeman 能够访问整个应用程序时效果最佳,而不仅仅是单个文件。如果只提供一个控制器和一个视图,它甚至无法确定正在使用的 Rails 版本。
相反,只需运行
brakeman
在您的应用程序的目录中。
或者,您可以提供一个目录,例如brakeman path/to/my/thing或brakeman --path path/to/my/thing。