Kasa
Kasa is a web developer juggling Ruby, TypeScript, Python, and a bit of DevOps. She has been one of the core organizers of the Ruby Taiwan Community since August 2025.
She volunteered at RubyKaigi 2026 and is currently recovering from post-Hakodate maguro withdrawal.
Her favorite Ruby syntax is inheritance: class Kasa < Hsiao. Something about its conciseness and quiet wit soothes her inner chaos.
Beitrag
09.08
13:30
30min
聊聊 Ruby 的 ReDoS 防禦:吃瓜設計權衡、整合 Rails 實踐、窺探 Regexp 未來動向
Kasa
「每次提起升版就被已讀。」
Ruby 3.2 導入了重要的 Regexp 更新,而隨著 Ruby 4 發佈,Ruby 3.2 也正式進入 EOL。近年的 Ruby Regexp 改善,也讓 ReDoS 的防禦逐漸從「怎麼寫 Regex」延伸到「底層如何幫開發者收斂風險」。
然而, 2026 年初 GitLab 的 CVE-2026-1388,以及 Active Support 的 CVE-2026-33169,也再次提醒我們:在複雜的 Web 應用實作中,Regexp 仍然可能成為效能與安全問題的入口。
這場演講會延續 RubyJam 3 月 Meetup 中對 Ruby Feature #17837 與 #19104 的設計權衡討論,並加入 2026 年最新的技術動態:
- 案例拆解:分析 2026 年兩起 ReDoS CVE,看看在現有防護機制下,哪些模式依然可能帶來風險。
- Rails 實踐:說明如何在 Rails 應用程式中整合 Regexp Timeout。
- 從 ReDoS 延伸到 Timing Attack:回應 RubyJam Meetup 的現場提問,聊聊演算法複雜度攻擊的另一面,以及 Ruby 生態系中如何實作 Constant Time Comparison。
- Ruby Regexp 的最新方向:分享來自 RubyKaigi 2026 的第一手資訊,看看 Regexp 導入 JIT 的進展,以及對安全性議題的可能影響。
Ruby Taiwan
TR514