Tôi thực sự wrote about this a few weeks back. Đây là những điều mà tôi muốn giới thiệu:
- Làm theo danh sách gửi thư bảo mật Ruby và Rails.
- Sử dụng CVE Reports để nhận thông tin chi tiết về cảnh báo bảo mật ngay khi có thể. CVE là viết tắt của "Các lỗ hổng và tiếp xúc thường gặp" và đó là cơ chế báo cáo tiêu chuẩn của ngành.
- Giữ cho các phụ thuộc của bạn được cập nhật nhất có thể. Chạy
bundle outdated
để nhận thông tin này. Việc giữ bộ thử nghiệm của bạn ở mức> 85% sẽ làm cho việc nâng cấp phụ thuộc dễ dàng hơn nhiều.
- Tạo quy trình cho nhóm của bạn để bạn có thể luôn cập nhật các vấn đề về bảo mật. Tôi xây dựng trong bài đăng trên blog về cách thực hiện điều đó.
- Sử dụng công cụ như
bundle-audit
, AppCanary
, Hakiri
hoặc Gemnasium
để tự động phát hiện sự cố bảo mật đá quý. Đây là những công cụ dễ dàng để chèn vào một môi trường CI.
Nguồn
2015-12-01 14:41:55
cập nhật gói? – christianblais