Asegurando aplicaciones Rails con Brakeman

Publicado el 1 de abril de 2013
A cambiar el mundo

A cambiar el mundo

Una de las “actividades” surgidas de RubyConf Uruguay vino de la mano de Alan Cyment y Pablo Tortorella. Conocía a Alan porque fue uno de los coach en el curso de Scrum Master que hice en 2009. Pablo también es Agile Coach en Kleer, una de las empresas que sponsorearon la RubyConf, y el autor de esta obra de arte sobre RubyConf 🙂

Durante una lightning talk, Alan y Pablo plantearon cambiar el mundo en 5 minutos. Para esto, cada asistente debía encontrar un “compañero de ruta” que lo ayudara a cumplir ciertos objetivos que cambiarían el mundo.

En unos minutos había que definir algunas metas a futuro, basado en la experiencia de la conferencia. La primera para el lunes siguiente, la segunda para dentro de 2 semanas y la tercera para el 23 de setiembre (6 meses).

Mi primer objetivo para el lunes siguiente fue aplicar las medidas de seguridad de las que habló Bryan Helmkamp de Code Climate en su charla. Bryan habló sobre seguridad en aplicaciones Rails.

La herramienta que empecé a usar gracias a su charla es Brakeman, un analizador estático de seguridad para Rails. Instalarlo es bastante sencillo:

gem install brakeman

o podemos agregarlo a un Gemfile:

gem "brakeman", :require => false

Brakeman

Brakeman

Para usarlo podemos ir al directorio de nuestra aplicación Rails y ejecutar el comando brakeman o llamarlo desde cualquier directorio con un path brakeman ~/code/rails_blog. Tenemos varias opciones como mandar el resultado de brakeman a un archivo, con distintos formatos: texto, html, tabs y csv. Pueden leer más en la documentación de brakeman.

Entonces usé por primera vez esta gema, y la agrego a mi “cinturón de herramientas” para Rails. Por suerte no encontré problemas mayores de seguridad en el proyecto en cuestión. De todas formas empezamos a usar Code Climate en este proyecto, y tenemos una nueva característica: Security Monitor, que nos avisa de riesgos de seguridad.

La participación de Alan, Pablo y Bryan en RubyConf Uruguay, en mi caso, ya rindió frutos. Excelentes personas que aportaron su grano de arena para que fuera una conferencia espectacular 🙂

Primer objetivo cumplido, el siguiente debería estar pronto para el lunes de la semana que viene, pero es un poco más ambicioso y todavía no empecé: Probar varias (y usar en algunos proyectos) de las gemas que comentó Soveran en su charla “sorpresa”, probar Padrino, probar mi código Ruby en JRuby y hacer deploy de alguna aplicación en Torquebox para conocer un poco de qué va la mano. Ampliaremos…

No hay comentarios en este post

Feed de comentarios

Dejar un comentario

Notificarme los nuevos comentarios por correo electrónico. Tambien puedes suscribirte sin comentar.

Toasty!