Cindy
大家好,我是 Cindy,目前在 DEVCORE 當開發工程,7 年以上 Ruby on Rails 開發經驗,喜歡 Ruby,想跟大家分享學到的東西。
Beitrag
08.08
10:50
30min
從 2026 年 3 月 Rails 安全更新看三個常見的設計陷阱
Cindy
2026 年 3 月 23 日,Rails 一次釋出 7.2.3.1、8.0.4.1、8.1.2.1 三個版本,修補了多個 CVE,涵蓋 XSS、ReDoS、記憶體耗盡、路徑穿越、glob 注入等漏洞,是近年規模最大的一次。
本場演講不會逐一拆解 CVE,而是退一步看:這些漏洞之間是否藏著共同的設計陷阱?我會挑出最具代表性的幾個,歸納成三類:信任邊界錯置(內部狀態與外部輸入混用)、檔案系統 API 接受未過濾輸入(path traversal 與 glob injection)、以及「修一次不夠」的不完整修補。
每個陷阱會搭配實際漏洞程式碼與修補方式解說,並提供可立即套用的檢查清單。聽眾不需要資安背景,只要寫過 Rails 應用就能理解。
Ruby Taiwan
TR514