Code Security Audit
White Box Audit. Wir wollen ein paar Guides und static code analysis tools testen bzw. benutzen. Nicht alle "alarms" werden tatsächlich relevant sein bzw. müssen zwingend umgesetzt werden.
Als Ergebnis sollten anschließend alle Code Audits im CI laufen (mindestens täglich übers schedule).
-
bundle-audit (vulnerable Gems finden) ist bereits als CI Step vorbereitet (auskommentiert) -
brakeman scanner ist bereits als CI Step vorbereitet (auskommentiert) -
Retire.js oder eine bessere Alternative um die javascript Packages auf CVEs zu scannen.Auf die Schnelleyarn audit
-
javascript scanner ähnlich wie brakeman: Einzig sinvolles scheint eslint mit vue-plugin zu sein (das wir bereits nutzten). Hierfür sollten wir es so konfigurieren, dass keine Warnings mehr geschmissen werden. -
Alle Audit CI Steps erfolgreich machen (Probleme beheben) und anschließend allow_failure: true
entfernen.
Edited by Michael Prilop