[Rails 7.2から新規アプリケーションにおいてBrakemanがデフォルトで有効になりました。 ](https://railsguides.jp/7_2_release_notes.html#brakeman%E3%81%8C%E6%96%B0%E8%A6%8F%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%A7%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%81%A7%E6%9C%89%E5%8A%B9%E3%81%AB%E3%81%AA%E3%81%A3%E3%81%9F) このTopicでは、7.1以前で作成した既存RailsアプリにBrakemanを後から導入して、Brakemanに関して7.2の新規アプリ相当の状態にセットアップする方法をご紹介します。 ### Brakemanのインストール まず以下のように、Gemfileの`group :development, :test`のところにbrakemanを追加します。 ```ruby group :development, :test do # Static analysis for security vulnerabilities [https://brakemanscanner.org/] gem "brakeman", require: false end ``` 次に`bundle install`を実行します。 ```sh bundle install ``` 以上でBrakemanのインストールが出来ました。 さらに、必須ではありませんが、`bin/brakeman`でBrakemanを実行できるように、以下のコマンドを実行します。 ```sh bundle binstubs brakeman ``` ### ローカル環境でのBrakemanの実行 以下のコマンドでBrakemanを実行でき、デフォルトのチェックを行えます。 ```sh bin/brakeman ``` 全てのチェックを実行する場合には、以下のオプション付けて実行します。 ```sh bin/brakeman -A ``` 警告の無視に関する設定と管理を行う場合は、以下のオプション付けて実行します。 ```sh bin/brakeman -I ``` 以下のように、これら2つのオプションを同時に指定して実行することも出来ます。 ```sh bin/brakeman -IA ``` なお、Brakemanの詳細については[公式ドキュメント](https://brakemanscanner.org/docs/)をご覧ください。 また、brakemanコマンドのオプションについては[日本語訳](https://brakemanscanner.org/docs/options/ja)もあります。 ### GitHubワークフロー(CI)でのBrakemanの実行 .github/workflows/ci.ymlに相当するファイルがなければ作成します。 この.ymlファイルを編集して、以下のように`jobs`の下に`scan_ruby`ジョブを追加します。 #### ymlファイルの設定に関する注意点 - `timeout-minutes:`の設定は、実行時間に対して十分余裕を持たせて下さい。 - 「`ruby-version: .ruby-version`」という設定は、プロジェクトルートにある.ruby-versionという名前のファイルで指定されているrubyのバージョンという意味になります。[この設定についての詳細はこちらのTopicをご覧下さい。](https://www.techtips.page/ja/topics/161) ```yaml jobs: scan_ruby: runs-on: ubuntu-latest timeout-minutes: 10 steps: - name: Checkout code uses: actions/checkout@v4 - name: Set up Ruby uses: ruby/setup-ruby@v1 with: ruby-version: .ruby-version bundler-cache: true - name: Scan for common Rails security vulnerabilities using static analysis run: bin/brakeman --no-pager ```