ruby-on-rails - Brakeman 不使用 --skip-files 参数跳过 Gemfile.lock

Question

我正在将 Brakeman 添加到 Rails 产品中，但遇到了问题。我希望它忽略我的 Gemfile 和 Gemfile.lock 但是当我用像

这样的命令运行它时

brakeman --skip-files Gemfile.lock,Gemfile

它仍在接触文件。我们使用其他系统来监控我们的 gem，但是完全忽略 gem 文件是不可能的吗？我当然可以使用 brakeman.ignore 文件，但我不想这样做。感谢您的帮助。

Answer 1

我相信这是您所指的支票: https://github.com/presidentbeef/brakeman/blob/master/lib/brakeman/scanner.rb#L39-L40

Brakeman.notify "Processing gems..."
process_gems

process_gems 函数在这里定义: https://github.com/presidentbeef/brakeman/blob/master/lib/brakeman/scanner.rb#L131-L152

  #Process Gemfile
  def process_gems
    gem_files = {}
    if @app_tree.exists? "Gemfile"
      gem_files[:gemfile] = { :src => parse_ruby(@app_tree.read("Gemfile")), :file => "Gemfile" }
    elsif @app_tree.exists? "gems.rb"
      gem_files[:gemfile] = { :src => parse_ruby(@app_tree.read("gems.rb")), :file => "gems.rb" }
    end

    if @app_tree.exists? "Gemfile.lock"
      gem_files[:gemlock] = { :src => @app_tree.read("Gemfile.lock"), :file => "Gemfile.lock" }
    elsif @app_tree.exists? "gems.locked"
      gem_files[:gemlock] = { :src => @app_tree.read("gems.locked"), :file => "gems.locked" }
    end

    if gem_files[:gemfile] or gem_files[:gemlock]
      @processor.process_gems gem_files
    end
  rescue => e
    Brakeman.notify "[Notice] Error while processing Gemfile."
    tracker.error e.exception(e.message + "\nWhile processing Gemfile"), e.backtrace
  end

AppTree::存在吗？函数在这里定义: https://github.com/presidentbeef/brakeman/blob/master/lib/brakeman/app_tree.rb#L82-L84

def exists?(path)
  File.exist?(File.join(@root, path))
end

GemProcessor::process_gems 函数定义如下: https://github.com/presidentbeef/brakeman/blob/master/lib/brakeman/processors/gem_processor.rb#L11

...lots of code...

如果为 brakeman 提供某个开关，我没有看到任何代码会跳过此功能。它看起来也像 AppTree::exists？函数不考虑文件是否提供给 --skip-files 选项。

不幸的是，我认为目前的答案是您不能完全忽略 gem 文件。

你可以创建一个 PR 来做你想做的事，看看 Brakeman 团队是否将它包含在下一个构建中: https://brakemanscanner.org/docs/contributing/

如果您发现了解决问题的方法，请告诉我们。