<div dir="ltr">As I look more into bundler-audit and the ruby-advisory-db I am less convinced of it's value in it's current state.<div><br></div><div style>1. If you install bundler-audit it will NOT currently keep the version of the ruby-advisory-db up to date, which means that even if new vulnerabilities get added to the database you won't be aware of them and there appears to be little movement on changing this [1]</div>
<div style><br></div><div style>2. The ruby-advisory-db suggests that it will aggregate advisories from various sources but there does not appear to be much effort to keep it up to date. For example a brief search of OSVDB [2] reveals many reported gem vulnerabilities that are not included [3][4][5]</div>
<div style><br></div><div style>J.</div><div style><br></div><div style>[1] See the discussion on this pull request about 'live' data <a href="https://github.com/rubysec/bundler-audit/pull/13">https://github.com/rubysec/bundler-audit/pull/13</a></div>
<div style>[2] <a href="http://www.osvdb.org/">http://www.osvdb.org</a></div><div style>[3] Vulnerability with fog-dragonfly <a href="http://www.osvdb.org/show/osvdb/96798">http://www.osvdb.org/show/osvdb/96798</a></div><div style>
[4] Vulnerability with sounder <a href="http://www.osvdb.org/show/osvdb/96278">http://www.osvdb.org/show/osvdb/96278</a></div><div style>[5] Vulnerability with show_in_browser <a href="http://www.osvdb.org/show/osvdb/93490">http://www.osvdb.org/show/osvdb/93490</a></div>
<div style><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On 25 September 2013 14:30, Joel Chippindale <span dir="ltr"><<a href="mailto:joel.chippindale@gmail.com" target="_blank">joel.chippindale@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Thanks to all of you for your excellent suggestions.<div><br></div><div>Both bundler-audit [1] and brakeman [2] look very interesting and I am certainly going to give them a go.</div>
<div><br></div>
<div>J.</div><div><br></div><div><br></div><div>[1] <a href="https://github.com/rubysec/bundler-audit" target="_blank">https://github.com/rubysec/bundler-audit</a></div><div>[2] <a href="http://brakemanscanner.org/" target="_blank">http://brakemanscanner.org/</a></div>

<div><br></div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><br><div class="gmail_quote">On 20 September 2013 12:49, Chris Mear <span dir="ltr"><<a href="mailto:chrismear@gmail.com" target="_blank">chrismear@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>On 20 Sep 2013, at 10:21, Mark Burns <<a href="mailto:markthedeveloper@gmail.com" target="_blank">markthedeveloper@gmail.com</a>> wrote:<br>


<br>
> Code climate provides a paid for security service. I'm not sure if it is any more comprehensive than the any others but it's at least another option to throw into the mix.<br>
<br>
</div>I've tried this one. It's for Rails apps only, and AFAICT it's just running Brakeman for you:<br>
<br>
<a href="http://brakemanscanner.org" target="_blank">http://brakemanscanner.org</a><br>
<br>
Which is not to say the service doesn't add some potentially handy features: email notifications, tracking of individual problems until they are fixed, easy marking of false-positives, automatic ticket creation... I just didn't personally find those worth the entry fee.<br>


<span><font color="#888888"><br>
Chris<br>
<br>
</font></span></blockquote></div><br></div>
</div></div></blockquote></div><br></div>