Brakeman扫描控制器和视图

Question

我在app/views/sample下有一个控制器sample_controller.rb和相关的视图。

现在我想使用brakeman扫描安全问题。我的第一种方法是单独进行扫描，如下所示：

brakeman --only-files app/controller/sample_controller.rb
brakeman --only-files app/views/sample

第二种方法是在同一命令中同时扫描控制器和视图，如下所示：

brakeman --only-files app/controller/sample_controller.rb , app/views/sample

问题是我在这两种方法中得到了不同的结果。

这才是正确的方法。请让我知道。

Answer 1

传入多个文件的正确方法是使用逗号分隔它们，如帮助文档中所述：

--only-files file1,path2,etc Process only these files/directories. Directories are application relative and must end in "/"

但是，您非常不鼓励使用这种方法。Brakeman在能够访问整个应用程序而不仅仅是单个文件时工作得最好。如果你只提供一个控制器和一个视图，它甚至不能确定正在使用的Rails版本。

相反，只需运行

brakeman

在您的应用程序目录中。

或者，您可以提供一个类似于brakeman path/to/my/thing或brakeman --path path/to/my/thing的目录。