我有一个控制器sample_controller.rb和app/views/sample下的相关视图。
现在我想使用制动器扫描安全问题。我的第一个方法是像下面这样单独进行扫描:
brakeman --only-files app/controller/sample_controller.rb
brakeman --only-files app/views/sample
第二种方法是在同一位置扫描控制器和视图命令如下:
brakeman --only-files app/controller/sample_controller.rb , app/views/sample
问题是我在这两种方法中都得到了不同的结果。
这是正确的方法。请让我知道。
传入多个文件的正确方法是用逗号分隔它们,如帮助文档中所述:
--only-files file1,path2,etc Process only these files/directories. Directories are application relative and must end in "/"
但是,我们非常不鼓励您使用此方法。当Brakeman能够访问整个应用程序而不仅仅是单个文件时,它的效果最好。如果您只提供控制器和视图,它甚至无法确定正在使用的 Rails 版本。
相反,只需运行
brakeman
在应用程序的目录中。
或者,您可以提供类似 brakeman path/to/my/thing 或 brakeman --path path/to/my/thing 的目录。