मैंने रेल आवेदन सुरक्षा के साथ मेरी सहायता के लिए ब्रैकमेन मणि का नवीनतम संस्करण स्थापित किया है।रेल पर रूबी 3.2.13 - ब्रैकमेन - सत्र रहस्य को संस्करण नियंत्रण में शामिल नहीं किया जाना चाहिए
मेरे पास कई रेल अनुप्रयोग हैं जो मेरे पास दो सर्वर हैं, एक विकास के लिए और दूसरे उत्पादन के लिए। जब मैंने अपने अनुप्रयोगों पर ब्रैकमेन रिपोर्ट चलायी, तो उनमें से अधिकतर निम्नलिखित उच्च सुरक्षा भेद्यता के साथ कॉन्फ़िगर/प्रारंभकर्ता/secret_token.rb ध्वजांकित हुए।
Session secret should not be included in version control near line 7
यह पहली बार है जब मैंने इस त्रुटि को देखा है क्योंकि मैंने महीने पहले ब्रैकमेन का पुराना संस्करण चलाया था।
जो मैंने अभी तक शोध किया है उससे रेल ने स्वचालित रूप से गुप्त टोकन जेनरेट किया है जब रेल नए ऐपनाम निष्पादित किया गया है। मुझे अब तक इसके बारे में पता नहीं था। स्पष्ट रूप से रेल इस फ़ाइल की रक्षा नहीं करते हैं, जहां मैंने अपने किसी भी एप्लिकेशन को गिथब में स्थानांतरित करने का निर्णय लिया है, तो जानकारी गिटूब में किसी भी व्यक्ति को एप्लिकेशन तक पहुंचने के लिए उपलब्ध होगी। इस समय मैं गिटहब पर अपलोड नहीं कर रहा हूं लेकिन मुझे अपने अनुप्रयोगों में सुरक्षा छेद को बंद करने के लिए config_ startoken/secure_token.rb से safe_token को स्थानांतरित करने के बारे में जानकारी चाहिए।
एक ब्लॉग पोस्ट मैंने पढ़ा है कि मैंने एक एनएनवी चर में गुप्त टोकन इंजेक्ट किया है। विन्यास/startizers/secret_token.rb से config/environment.rb को कथन को हल करने से समस्या हल हो जाएगी? यदि ऐसा है तो मैं इस कार्य को रेल विकास में कार्यों की अपनी सूची में जोड़ दूंगा।
किसी भी मदद की सराहना की जाएगी।
एनवी वैरिएबल के बारे में मैंने जो सुझाव दिया है वह कोड क्लाइमेट ब्लॉग पोस्ट से आया था। मैंने अपना प्रश्न पोस्ट करने से पहले इसे पढ़ा। मुझे यकीन नहीं था कि जब मैंने अपना प्रश्न पोस्ट किया तो इसे एनएनवी वैरिएबल कैसे बनाया जाए। हालांकि जब मैंने पर्यावरण पर नजर डाली। आरबी मैंने देखा कि कथन प्रारूप समान थे। इसलिए मैंने कथन को गुप्त_टोकन से स्थानांतरित कर दिया। संदेश गायब हो गया। मेरे पास मेरे बुकमार्क में कोड क्लाइमेट ब्लॉग पोस्ट है। मैं फिगारो को देखूंगा जो मैंने पिछली खोजों में देखा था। मैं dotenv भी देखेंगे। –
यदि पर्यावरण स्रोत आपके स्रोत नियंत्रण में संग्रहीत है, तो यह secret_token.rb से अधिक सुरक्षित नहीं है। – Justin