Brakeman 安全扫描工具中如何忽略特定目录路径

在 Rails 项目中使用 Brakeman 进行安全扫描时，开发者可能会遇到需要忽略某些特定目录的情况。本文将详细介绍如何有效配置 Brakeman 来跳过不必要的目录扫描，优化扫描性能。

问题背景

在典型的 Rails 项目中，除了应用代码外，通常还包含以下内容：

• 开发工具配置文件（如 VS Code 配置）
• 容器化相关文件（如 Docker 配置）
• 前端依赖（node_modules）
• Ruby 依赖（Bundler 的 gem 目录）

这些目录往往包含大量文件，当 Brakeman 尝试扫描这些目录时，可能会导致：

1. 内存消耗过大，最终被系统终止（显示"Killed"）
2. 扫描时间显著增加
3. 产生不必要的警告（因为这些是第三方依赖）

解决方案：使用 --skip-files 参数

Brakeman 提供了 --skip-files 参数来指定需要跳过的文件或目录。对于目录，需要注意路径格式：

基本用法

要跳过特定目录，需要在目录名后添加斜杠 /：

brakeman --skip-files docker/,node_modules/

路径匹配规则

1. 相对路径匹配：docker/ 会匹配项目中任何位置的 docker 目录

   • 例如：app/controllers/docker/controller.rb 也会被跳过

2. 绝对路径匹配：如果要只跳过根目录下的特定目录，使用前导斜杠

   brakeman --skip-files /docker/
   

   • 这样只会跳过项目根目录下的 docker 目录

3. 多目录配置：可以用逗号分隔多个目录

   brakeman --skip-files /docker/,/node_modules/,tmp/
   

最佳实践建议

1. 常规忽略目录：建议将以下目录加入忽略列表

   • node_modules/
   • vendor/bundle/ 或本地 gem 目录
   • tmp/
   • log/

2. Docker 环境：在容器化环境中，特别注意映射的卷目录

3. 性能监控：首次扫描后检查耗时最长的文件，考虑是否加入忽略列表

4. 配置文件：对于长期项目，建议将配置写入 config/brakeman.yml 而非每次命令行输入

注意事项

1. 确保不要忽略应用的核心代码目录
2. 第三方 gem 的安全问题应通过 bundle audit 等工具检查
3. 前端依赖的安全问题应使用专门的 npm 安全工具检查

通过合理配置忽略目录，可以显著提升 Brakeman 的扫描效率，同时保持对应用核心代码的安全检查能力。