Контроллер сканера Brakeman и вид

Question

У меня есть контроллер sample_controller.rb и связанные с ним виды под app/views/sample.

Теперь я хочу проверять проблемы безопасности с помощью brakeman. Мой первый подход, чтобы сделать сканирование отдельно, как показано ниже:

brakeman --only-files app/controller/sample_controller.rb 
brakeman --only-files app/views/sample 

И второй подход является сканирование как контроллер и представление в той же команды, как показано ниже:

brakeman --only-files app/controller/sample_controller.rb , app/views/sample 

Проблема заключается в том, что я получить разные результаты в обоих подходах.

Каков правильный подход. Пожалуйста, дайте мне знать.

Answer 1

Правильный способ передать несколько файлов, чтобы отделить их с запятой, как указано в справочной документации:

--only-files file1,path2,etc Process only these files/directories. Directories are application relative and must end in "/" 

Однако вы крайне не рекомендуется от использования этого подхода. Brakeman работает лучше всего, когда он может получить доступ ко всему приложению, а не только к отдельным файлам. Он даже не может определить версию Rails, которая используется, если вы просто предоставляете контроллер и представление.

Вместо этого просто запустите

brakeman 

в каталоге приложения.

В качестве альтернативы вы можете предоставить каталог, такой как brakeman path/to/my/thing или brakeman --path path/to/my/thing.