[ANN] Codesake::Dawn ruby source code security scanner v1.1.0 has been released

Ciao a tutti, volevo segnalarvi che dopo 3 mesi stata rilasciata la
nuova versione della gemma codesake-dawn che sto scrivendo.

codesake-dawn uno scanner di security per applicazioni scritte in
ruby. Ora i check di security nella knowledge base sono 171, ci sono
opzioni per la formattazione in tabelle ascii e html, possibile
creare un file di configurazione dove possibile abilitare o
disabilitare alcune opzioni del tool.

Le nuove opzioni possibili le trovate nell’help che potete richiamare
con il flag omonimo.

A questo punto aspetto i vostri feedback :slight_smile:

Paolo


$ gem install codesake-dawn -P MediumSecurity

The Application Security blog you really want to read:
http://armoredcode.com

Ciao Paolo, nella tua roadmap il supporto per applicazioni Rack?

2014-04-04 12:58 GMT+02:00 Paolo P. [email protected]:

Ciao Luca. S, assolutamente.
Intanto sono gi presenti alcuni CVE specifici di Rack.

Al momento non ‘dovrebbe’ riuscire a fare il detect del tipo di app,
quindi dawn dovrebbe fermarsi.
Hai un’applicazione pure rack opensource da passarmi come caso di test?

2014-04-04 14:07 GMT+02:00 Luca G. [email protected]:

opzioni per la formattazione in tabelle ascii e html, possibile


lucaguidi.com


Ml mailing list
[email protected]
http://lists.ruby-it.org/mailman/listinfo/ml


$ cd /pub
$ more beer

The Application Security blog you really want to read:
http://armoredcode.com

Paolo, non ho esempi per Rack. Il mio obiettivo testare
sistematicamente
applicazioni scritte con Lotus (http://lotusrb.org).

Luca

2014-04-04 14:27 GMT+02:00 Paolo P. [email protected]:

c’ qualcosa che non va, ovvero, mi capitato un

$ dawn .
/Users/riffraff/.rvm/gems/ruby-2.1.1/gems/codesake-dawn-1.1.0/lib/codesake/dawn/core.rb:146:in
exist?': no implicit conversion of Fixnum into String (TypeError) from /Users/riffraff/.rvm/gems/ruby-2.1.1/gems/codesake-dawn-1.1.0/lib/codesake/dawn/core.rb:146:inread_conf’
from
/Users/riffraff/.rvm/gems/ruby-2.1.1/gems/codesake-dawn-1.1.0/bin/dawn:61:in
<top (required)>' from /Users/riffraff/.rvm/gems/ruby-2.1.1/bin/dawn:23:inload’
from /Users/riffraff/.rvm/gems/ruby-2.1.1/bin/dawn:23:in <main>' from /Users/riffraff/.rvm/gems/ruby-2.1.1/bin/ruby_executable_hooks:15:ineval’
from
/Users/riffraff/.rvm/gems/ruby-2.1.1/bin/ruby_executable_hooks:15:in
`’

un paio di error reporting confusi (forse conviene assumere la
directory
corrente o dire “specifica la directory”)

$ dawn -r
00:13:47 [*] dawn v1.1.0 is starting up
00:13:47 [!] dawn: ruby framework auto detect failed. Please force if
rails, sinatra or padrino with -r, -s or -p flags

$ dawn --rails
00:13:53 [*] dawn v1.1.0 is starting up
00:13:53 [!] dawn: ruby framework auto detect failed. Please force if
rails, sinatra or padrino with -r, -s or -p flags

FWIW, il primo errore non riesco a riprodurlo, ma presumo che metetre un
“.to_i” al posto giusto sia semplice :slight_smile:

2014-04-04 12:58 GMT+02:00 Paolo P. [email protected]:

con il flag omonimo.


Ml mailing list
[email protected]
http://lists.ruby-it.org/mailman/listinfo/ml


twitter: @riffraff
blog (en, it): www.riffraff.info
work: circleme.com

Ciao Gabriele, il primo una issue che mi hanno segnalato e che
chiusa (https://github.com/codesake/codesake-dawn/issues/52). La fix
gi applicata in development.
Aspetto ancora un po’ prima di far uscire una gemma con la patch.

Per la seconda s… devo fermare subito se manca la directory
(https://github.com/codesake/codesake-dawn/issues/55).
Grazie
Paolo

2014-04-07 0:19 GMT+02:00 gabriele renzi [email protected]:

`<top (required)>’

codesake-dawn uno scanner di security per applicazioni scritte in
Paolo

http://lists.ruby-it.org/mailman/listinfo/ml

$ cd /pub
$ more beer

The Application Security blog you really want to read:
http://armoredcode.com

Ciao Luca, mi crei un’app tipo con Lotus che la aggiungo a quelle di
test? Scopro oggi Lotus… complimenti.

Paolo

2014-04-07 10:31 GMT+02:00 Luca G. [email protected]:

Ciao a tutti, volevo segnalarvi che dopo 3 mesi stata rilasciata la

Ml mailing list
[email protected]


Ml mailing list
[email protected]
http://lists.ruby-it.org/mailman/listinfo/ml


$ cd /pub
$ more beer

The Application Security blog you really want to read:
http://armoredcode.com

Paolo, Lotus non ancora completamente open source, quindi credo che
l’auto-detect di Codesake::Dawn non possa ancora funzionare. Qui trovi
un
esempio di quello che sar: https://gist.github.com/jodosha/9830002

Luca

2014-04-07 10:47 GMT+02:00 Paolo P. [email protected]:

This forum is not affiliated to the Ruby language, Ruby on Rails framework, nor any Ruby applications discussed here.

| Privacy Policy | Terms of Service | Remote Ruby Jobs