<div dir="ltr">Hi Frederick,<br><br>If you allow me the suggestion, before you make the decision of hiring someone external to your organisation to do this I'd say there's a bit that can be done in-house, if you're up for that. Qualys and Nessus are good examples of tools that can help you find vulnerabilities. There's also:<div><ul><li><a href="https://github.com/presidentbeef/brakeman">Brakeman</a> is a good start - it does static analysis of vulnerabilities, is really easy to integrate with CI and integrating it in a rails project is probably one of the cheapest things that can be done to start finding vulnerabilities</li><li>A <a href="https://www.sqreen.com/checklists/pentest-checklist">pentest checklist</a> by Sqreen<br></li><li>OWASP has a set of quick basic Ruby on Rails security tips for developers <a href="https://cheatsheetseries.owasp.org/cheatsheets/Ruby_on_Rails_Cheatsheet.html">here</a></li><li>Rails guide on <a href="https://guides.rubyonrails.org/security.html">Securing Rails Applications</a></li></ul><div></div></div><div>Having said that, I know a pen testing specialist who I can recommend. If you're interested, let me know via PM and I'd be happy to connect you with them.<br></div><div><br></div><div>Best,</div><div>Igor.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Apr 28, 2020 at 3:38 PM Frederick Cheung <<a href="mailto:frederick.cheung@gmail.com">frederick.cheung@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div>Hi,</div><div><br></div><div>Does anyone have any recommendations on providers of pen tests? The apps we’re testing are rails apps so I guess someone with some familiarity with common pitfalls/misconfigurations of rails applications would be useful</div><div><br></div>I did find <a href="http://lists.lrug.org/htdig.cgi/chat-lrug.org/2012-January/019543.html" target="_blank">http://lists.lrug.org/htdig.cgi/chat-lrug.org/2012-January/019543.html</a> but 2012 is probably prehistory in this domain<div><br><div>Thanks,</div><div><br></div><div>Fred</div><div><br><br><div dir="ltr">Sent from my iPhone</div></div></div></div>_______________________________________________<br>
Chat mailing list<br>
<a href="mailto:Chat@lists.lrug.org" target="_blank">Chat@lists.lrug.org</a><br>
Archives: <a href="http://lists.lrug.org/pipermail/chat-lrug.org" rel="noreferrer" target="_blank">http://lists.lrug.org/pipermail/chat-lrug.org</a><br>
Manage your subscription: <a href="http://lists.lrug.org/options.cgi/chat-lrug.org" rel="noreferrer" target="_blank">http://lists.lrug.org/options.cgi/chat-lrug.org</a><br>
List info: <a href="http://lists.lrug.org/listinfo.cgi/chat-lrug.org" rel="noreferrer" target="_blank">http://lists.lrug.org/listinfo.cgi/chat-lrug.org</a><br>
</blockquote></div>