omamori 0.1.0

checksums.yaml

@@ -0,0 +1,7 @@
+---
+SHA256:
+  metadata.gz: 98648919f99277d6023e0d6639b4d3c012b5efb901b8a7db485c1333470f9ff8
+  data.tar.gz: 943da793baa121c246f48083ee4630bc881c70209e4e5e0a73dd3342d63ee690
+SHA512:
+  metadata.gz: 763f89ef7db133c5871fe8cdecb712df7ba881f754e2fb815b1f64622ff1974711c81316f06a92734232f2c3753403e0f2508146cff73aba87f07926b8a49a40
+  data.tar.gz: 3f0a079cd48d064ae1dc383948de694b2afcfbea51823042bec387e164e4f7dfcbe7aca373948c72b8568c1f3f1941f019ee5822f431776b28089b6adda1727a

data/Gemfile

@@ -0,0 +1,9 @@
+# frozen_string_literal: true
+
+source "https://rubygems.org"
+
+# Specify your gem's dependencies in omamori.gemspec
+gemspec
+gem "brakeman", "~> 7.0"
+
+gem "bundler-audit", "~> 0.9.2"

data/Gemfile.lock

@@ -0,0 +1,97 @@
+PATH
+  remote: .
+  specs:
+    omamori (0.1.0)
+      colorize (~> 0.8)
+      dotenv (~> 2.0)
+
+GEM
+  remote: https://rubygems.org/
+  specs:
+    ast (2.4.3)
+    brakeman (7.0.2)
+      racc
+    bundler-audit (0.9.2)
+      bundler (>= 1.2.0, < 3)
+      thor (~> 1.0)
+    colorize (0.8.1)
+    diff-lcs (1.6.1)
+    dotenv (2.8.1)
+    faraday (2.13.1)
+      faraday-net_http (>= 2.0, < 3.5)
+      json
+      logger
+    faraday-multipart (1.1.0)
+      multipart-post (~> 2.0)
+    faraday-net_http (3.4.0)
+      net-http (>= 0.5.0)
+    json (2.11.3)
+    language_server-protocol (3.17.0.4)
+    lint_roller (1.1.0)
+    logger (1.7.0)
+    multipart-post (2.4.1)
+    net-http (0.6.0)
+      uri
+    parallel (1.27.0)
+    parser (3.3.8.0)
+      ast (~> 2.4.1)
+      racc
+    prism (1.4.0)
+    racc (1.8.1)
+    rainbow (3.1.1)
+    rake (13.2.1)
+    regexp_parser (2.10.0)
+    rspec (3.13.0)
+      rspec-core (~> 3.13.0)
+      rspec-expectations (~> 3.13.0)
+      rspec-mocks (~> 3.13.0)
+    rspec-core (3.13.3)
+      rspec-support (~> 3.13.0)
+    rspec-expectations (3.13.3)
+      diff-lcs (>= 1.2.0, < 2.0)
+      rspec-support (~> 3.13.0)
+    rspec-mocks (3.13.2)
+      diff-lcs (>= 1.2.0, < 2.0)
+      rspec-support (~> 3.13.0)
+    rspec-support (3.13.2)
+    rubocop (1.75.3)
+      json (~> 2.3)
+      language_server-protocol (~> 3.17.0.2)
+      lint_roller (~> 1.1.0)
+      parallel (~> 1.10)
+      parser (>= 3.3.0.2)
+      rainbow (>= 2.2.2, < 4.0)
+      regexp_parser (>= 2.9.3, < 3.0)
+      rubocop-ast (>= 1.44.0, < 2.0)
+      ruby-progressbar (~> 1.7)
+      unicode-display_width (>= 2.4.0, < 4.0)
+    rubocop-ast (1.44.1)
+      parser (>= 3.3.7.2)
+      prism (~> 1.4)
+    ruby-gemini-api (0.1.0)
+      faraday (~> 2.0)
+      faraday-multipart (~> 1.0)
+      json (~> 2.0)
+    ruby-progressbar (1.13.0)
+    thor (1.3.2)
+    unicode-display_width (3.1.4)
+      unicode-emoji (~> 4.0, >= 4.0.4)
+    unicode-emoji (4.0.4)
+    uri (1.0.3)
+
+PLATFORMS
+  ruby
+  x86_64-linux
+
+DEPENDENCIES
+  brakeman (~> 7.0)
+  bundler (~> 2.0)
+  bundler-audit (~> 0.9.2)
+  omamori!
+  rake (~> 13.0)
+  rspec (~> 3.0)
+  rubocop (~> 1.0)
+  ruby-gemini-api (~> 0.1.0)
+
+BUNDLED WITH
+   2.5.17

data/LICENSE

@@ -0,0 +1,21 @@
+MIT License
+
+Copyright (c) 2025 rira
+
+Permission is hereby granted, free of charge, to any person obtaining a copy
+of this software and associated documentation files (the "Software"), to deal
+in the Software without restriction, including without limitation the rights
+to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
+copies of the Software, and to permit persons to whom the Software is
+furnished to do so, subject to the following conditions:
+
+The above copyright notice and this permission notice shall be included in all
+copies or substantial portions of the Software.
+
+THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
+IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
+FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
+AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
+LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
+OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+SOFTWARE.

data/README.md

@@ -0,0 +1,172 @@
+[README(日本語)](https://github.com/rira100000000/omamori/blob/main/README_ja.md)
+# Omamori Gem
+
+Omamori is a Ruby gem designed to detect potential security vulnerabilities in Ruby code and its dependencies.
+It aims to diagnose common vulnerabilities often introduced by beginner programmers.
+By combining static analysis tools with AI-powered code analysis, Omamori provides flexible diagnostic capabilities.
+
+However, please note that this gem is merely a "protective charm" and does not guarantee the safety of your programs.
+It might help prevent vulnerabilities that could occur even after human review.
+
+Caution:
+AI analysis can uncover vulnerabilities that static analysis alone might miss, but the accuracy of diagnostics may vary depending on the AI model’s "mood."
+Running the analysis multiple times may help reduce false negatives.
+
+
+## Features
+
+- Scan staged changes (`git diff --staged`) or the entire codebase for security risks.
+- Integrates with static analysis tools like Brakeman and Bundler-Audit.
+- Utilizes the Gemini API for advanced code analysis to detect vulnerabilities.
+- Supports multiple report formats (console, HTML, JSON).
+- Configurable via a `.omamorirc` file.
+
+## Installation
+
+Add this line to your application's Gemfile:
+
+```ruby
+gem 'omamori'
+```
+
+And then execute:
+
+```bash
+bundle install
+```
+
+Or install it yourself as:
+
+```bash
+gem install omamori
+```
+
+## Usage
+
+### Initialization
+
+To generate an initial configuration file (`.omamorirc`), run:
+
+```bash
+omamori init
+```
+
+Edit the generated `.omamorirc` file to configure your Gemini API key, preferred model, checks to perform, and other settings.
+
+### Scanning
+
+Scan staged changes (default):
+
+```bash
+omamori scan
+```
+
+Scan the entire codebase:
+
+```bash
+omamori scan --all
+```
+
+Specify output format (console, html, json):
+
+```bash
+bundle exec omamori scan --format html
+bundle exec omamori scan --all --format json
+```
+
+### AI Analysis Only
+
+To perform only AI analysis without running static analysis tools, use the `--ai` option:
+
+```bash
+omamori scan --ai
+```
+
+## Configuration
+
+The `.omamorirc` file in the project root directory allows you to customize Omamori's behavior.
+
+Here's a detailed breakdown of the configuration options:
+
+```yaml
+# .omamorirc
+# Configuration file for omamori gem
+
+# Gemini API Key (required for AI analysis)
+# You can also set this via the GEMINI_API_KEY environment variable
+api_key: YOUR_GEMINI_API_KEY # Replace with your actual API key
+
+# Gemini Model to use (optional, default: gemini-1.5-pro-latest)
+model: gemini-2.5-flash-preview-04-17
+
+# Security checks to enable (optional, default: all implemented checks)
+# checks:
+#   xss: true
+#   csrf: true
+#   idor: true
+#   ... # Add other checks as they become available
+
+# Custom prompt templates (optional)
+# prompt_templates:
+#   default: |
+#     Your custom prompt template here...
+
+# Report output settings (optional)
+# report:
+#   output_path: ./omamori_report # Output directory/prefix for html/json reports
+#   html_template: path/to/custom/template.erb # Custom HTML template
+
+# Static analyser options (optional)
+# static_analysers:
+#   brakeman:
+#     options: "--force" # Additional Brakeman options
+#   bundler_audit:
+#     options: "--quiet" # Additional Bundler-Audit options
+
+# Language setting for AI analysis details (optional, default: en)
+# language: ja
+```
+
+*   `api_key`: Your API key for accessing the Gemini API. Can also be set via the `GEMINI_API_KEY` environment variable.
+*   `model`: The Gemini model to use for AI analysis. Defaults to `gemini-1.5-pro-latest`.
+*   `checks`: Configure which types of security checks to enable. By default, all implemented checks are enabled. You can selectively enable/disable checks here (e.g., `xss: true`, `csrf: false`).
+*   `prompt_templates`: Define custom prompt templates for AI analysis.
+*   `report`: Configure report output settings.
+    *   `output_path`: The output directory or prefix for HTML and JSON reports.
+    *   `html_template`: Path to a custom ERB template for HTML reports.
+*   `static_analysers`: Configure options for integrated static analysis tools.
+    *   `brakeman`: Additional command-line options for Brakeman.
+    *   `bundler_audit`: Additional command-line options for Bundler-Audit.
+*   `language`: Language setting for the details provided in AI analysis reports. Defaults to English (`en`).
+
+## Demo Files
+
+The `demo` directory contains example files with known vulnerabilities that can be used to demonstrate Omamori's capabilities.
+
+To run Omamori on the demo files, you need to stage the changes in the `demo` directory. Since the `demo` directory might be ignored by git, follow these steps:
+
+1.  Ensure the `demo` directory is not ignored by git. If it is listed in your `.gitignore` file, remove or comment out the line.
+2.  Rename the `demo` directory to `demo_`:
+    ```bash
+    mv demo demo_
+    ```
+3.  Stage the `demo` directory again:
+    ```bash
+    git add demo_
+    ```
+4.  Now you can run Omamori on the staged demo files:
+    ```bash
+    omamori scan
+    ```
+    Or to scan all files in the demo directory (after staging them):
+    ```bash
+    omamori scan --all
+    ```
+
+## Contributing
+
+Bug reports and pull requests are welcome on GitHub. This project is intended to be a safe, welcoming space for collaboration. 
+
+## License
+
+The gem is available as open source under the terms of the [MIT License](https://opensource.org/licenses/MIT).

data/README_ja.md

@@ -0,0 +1,175 @@
+# Omamori Gem（お守りジェム）
+
+Omamoriは、Rubyコードおよび依存関係に潜む潜在的なセキュリティ脆弱性を検出するRuby製のGemです。
+初心者プログラマーが作りがちな脆弱性を診断することを目的としています。
+静的解析ツールとAIによるコード解析を組み合わせることで柔軟な診断を可能とします。
+
+ただし、このgemはあくまでも「お守り」であり、プログラムの安全を保証するものではありません。
+人間がチェックした上で万が一に発生した脆弱性を、防いでくれる"かもしれません"。
+
+注意:
+AI解析は静的解析で診断できない脆弱性を発見することができますが、モデルの気分によって診断の精度にブレが生じやすいです。
+複数回実行することで偽陰性を防ぐことができるかもしれません。
+
+## 特徴
+
+- ステージされた変更（`git diff --staged`）またはコードベース全体をスキャンしてセキュリティリスクを検出
+- BrakemanやBundler-Auditなどの静的解析ツールと連携
+- Gemini APIを活用し、AIによる高度なコード脆弱性検出
+- 複数のレポート形式に対応（コンソール、HTML、JSON）
+- `.omamorirc`ファイルによる柔軟な設定が可能
+
+## インストール
+
+アプリケーションのGemfileに以下を追加します：
+
+```ruby
+gem 'omamori'
+```
+
+その後、以下を実行します：
+
+```bash
+bundle install
+```
+
+または、個別にインストールする場合は：
+
+```bash
+gem install omamori
+```
+
+## 使い方
+
+### 初期化
+
+初期設定ファイル（`.omamorirc`）を生成するには、以下を実行します：
+
+```bash
+omamori init
+```
+
+生成された`.omamorirc`ファイルを編集して、Gemini APIキー、使用するモデル、実行するチェック項目などを設定します。
+
+### スキャン
+
+ステージされた変更をスキャン（デフォルト）：
+
+```bash
+omamori scan
+```
+
+コードベース全体をスキャン：
+
+```bash
+omamori scan --all
+```
+
+出力形式を指定（コンソール、HTML、JSON）：
+
+```bash
+bundle exec omamori scan --format html
+bundle exec omamori scan --all --format json
+```
+
+### AI解析のみ実施
+
+静的解析ツールを使わず、AI解析のみを実行するには、`--ai`オプションを使用します：
+
+```bash
+omamori scan --ai
+```
+
+## 設定
+
+プロジェクトルートにある`.omamorirc`ファイルで、Omamoriの動作をカスタマイズできます。
+
+設定項目の詳細は以下の通りです：
+
+```yaml
+# .omamorirc
+# omamori用設定ファイル
+
+# Gemini APIキー（AI解析に必須）
+# 環境変数GEMINI_API_KEYで設定することも可能
+api_key: YOUR_GEMINI_API_KEY # 実際のAPIキーに置き換えてください
+
+# 使用するGeminiモデル（任意、デフォルト: gemini-1.5-pro-latest）
+model: gemini-2.5-flash-preview-04-17
+
+# 有効化するセキュリティチェック（任意、デフォルトは全チェック）
+# checks:
+#   xss: true
+#   csrf: true
+#   idor: true
+#   ... # 他のチェック項目も追加可能
+
+# カスタムプロンプトテンプレート（任意）
+# prompt_templates:
+#   default: |
+#     ここにカスタムプロンプトを記述...
+
+# レポート出力設定（任意）
+# report:
+#   output_path: ./omamori_report # HTML/JSONレポートの出力先ディレクトリまたは接頭辞
+#   html_template: path/to/custom/template.erb # カスタムHTMLテンプレートのパス
+
+# 静的解析ツールのオプション設定（任意）
+# static_analysers:
+#   brakeman:
+#     options: "--force" # Brakemanに渡す追加オプション
+#   bundler_audit:
+#     options: "--quiet" # Bundler-Auditに渡す追加オプション
+
+# AI解析時の詳細出力言語設定（任意、デフォルト: en）
+# language: ja
+```
+
+- `api_key`: Gemini APIへのアクセスキー。環境変数`GEMINI_API_KEY`でも設定可能。
+- `model`: AI解析に使用するGeminiモデル。デフォルトは`gemini-1.5-pro-latest`。
+- `checks`: 実行するセキュリティチェックの設定。特定のチェックを有効/無効にできます（例：`xss: true`, `csrf: false`）。
+- `prompt_templates`: AI解析用のカスタムプロンプトテンプレートを設定。
+- `report`: レポート出力に関する設定。
+  - `output_path`: HTMLおよびJSONレポートの出力先ディレクトリまたはプレフィックス。
+  - `html_template`: カスタムHTMLテンプレート（ERB形式）のパス。
+- `static_analysers`: 静的解析ツール（Brakeman、Bundler-Auditなど）の追加オプション設定。
+- `language`: AI解析結果の詳細説明文の言語設定。デフォルトは英語（`en`）。
+
+## デモファイル
+
+`demo`ディレクトリには、Omamoriの機能をデモンストレーションするための既知の脆弱性を含むサンプルファイルが置かれています。
+
+デモファイルを対象にOmamoriを実行するには、以下の手順を実施してください：
+
+1. `demo`ディレクトリがgitで無視されていないことを確認します。`.gitignore`に記載されている場合は、コメントアウトまたは削除します。
+2. `demo`ディレクトリ名を変更します：
+
+    ```bash
+    mv demo demo_
+    ```
+
+3. 変更後の`demo_`ディレクトリをステージします：
+
+    ```bash
+    git add demo_
+    ```
+
+4. ステージしたデモファイルに対してOmamoriを実行します：
+
+    ```bash
+    omamori scan
+    ```
+
+    または、ステージ後にすべてのファイルをスキャンする場合：
+
+    ```bash
+    omamori scan --all
+    ```
+
+## 貢献について
+
+バグ報告やプルリクエストはGitHubで歓迎しています。このプロジェクトは、安全かつ協力的なコラボレーションの場を目指しています。
+
+## ライセンス
+
+このGemは、[MITライセンス](https://opensource.org/licenses/MIT)のもとでオープンソースとして公開されています。

data/demo/ai_analysis_vulnerability.rb

@@ -0,0 +1,28 @@
+# This file contains vulnerabilities that AI analysis can help detect.
+
+require 'net/http'
+require 'uri'
+
+API_KEY = "HARDCODED_SECRET_API_KEY_12345" # Hardcoded sensitive information
+
+def fetch_data(user_input)
+  # Insufficient input validation
+  if user_input.length > 100
+    puts "Input too long, truncating."
+    user_input = user_input[0..99]
+  end
+
+  uri = URI("https://api.example.com/data?query=#{user_input}&api_key=#{API_KEY}")
+  response = Net::HTTP.get_response(uri)
+
+  if response.is_a?(Net::HTTPSuccess)
+    puts "Data fetched successfully: #{response.body}"
+  else
+    # Poor error handling - reveals internal details
+    puts "Error fetching data: #{response.code} - #{response.message}"
+  end
+end
+
+# Example usage
+# fetch_data("some data")
+# fetch_data("a" * 200) # Long input

data/demo/csrf_vulnerability.rb

@@ -0,0 +1,31 @@
+# frozen_string_literal: true
+
+require 'sinatra'
+
+# CSRF (Cross-Site Request Forgery) の脆弱性を含むデモコード
+# フォーム送信時にCSRFトークンによる検証を行っていない例
+
+# ユーザー情報を更新する想定のPOSTエンドポイント
+post '/update_profile' do
+  # 本来はここでCSRFトークンの検証が必要だが、省略されている
+  user_id = params['user_id']
+  new_email = params['email']
+
+  # ユーザー情報の更新処理 (実際には行わない)
+  puts "ユーザー #{user_id} のメールアドレスを #{new_email} に更新しました。"
+
+  "Profile updated for user #{user_id}."
+end
+
+# 実行方法:
+# 1. このファイルを保存
+# 2. ターミナルで `ruby demo/csrf_vulnerability.rb` を実行
+# 3. 攻撃者は、このエンドポイントへのPOSTリクエストをユーザーに意図せず実行させるような細工を施したページを作成し、ユーザーを誘導する。
+#    例えば、以下のようなHTMLを含むページを別のサイトに用意する:
+#    <form action="http://localhost:4567/update_profile" method="post">
+#      <input type="hidden" name="user_id" value="123">
+#      <input type="hidden" name="email" value="attacker@example.com">
+#      <input type="submit" value="Click me!">
+#    </form>
+#    または、JavaScriptを使って自動的にPOSTリクエストを送信させる。
+#    ユーザーがログインした状態でこのページを閲覧すると、意図せずプロファイルが更新される可能性がある。

data/demo/eval_vulnerability.rb

@@ -0,0 +1,29 @@
+# frozen_string_literal: true
+
+require 'sinatra'
+
+# 危険な eval／動的コード実行の脆弱性を含むデモコード
+# ユーザーからの入力を eval で直接評価している例
+
+get '/calculate' do
+  # ユーザーからの入力 (expression) を取得
+  expression = params['expression']
+
+  # 取得した入力を eval で評価
+  # ここにコードインジェクションの脆弱性がある
+  # 攻撃者は任意のRubyコードを実行させることが可能になる
+  begin
+    result = eval(expression)
+    "Result: #{result}"
+  rescue StandardError => e
+    status 500
+    "Error: #{e.message}"
+  end
+end
+
+# 実行方法:
+# 1. このファイルを保存
+# 2. ターミナルで `ruby demo/eval_vulnerability.rb` を実行
+# 3. ブラウザで `http://localhost:4567/calculate?expression=2%2B2` にアクセスすると "Result: 4" が表示される。
+# 4. 悪意のある入力を与える例: `http://localhost:4567/calculate?expression=system('ls%20-l')`
+#    サーバー側で `ls -l` コマンドが実行されてしまう可能性がある。

data/demo/idor_vulnerability.rb

@@ -0,0 +1,39 @@
+# frozen_string_literal: true
+
+require 'sinatra'
+
+# IDOR (Insecure Direct Object Reference) の脆弱性を含むデモコード
+# ユーザーからの入力（ID）を直接使用してリソースにアクセスし、認可チェックを行っていない例
+
+# ユーザー情報を表示する想定のエンドポイント
+get '/user_info/:user_id' do
+  user_id = params['user_id']
+
+  # 本来はここで、リクエストを行ったユーザーが、指定された user_id の情報にアクセスする権限があるかチェックが必要だが、省略されている
+  user_data = fetch_user_data(user_id) # ユーザーIDに基づいてデータを取得する関数を想定
+
+  if user_data
+    "User Info for ID #{user_id}: #{user_data}"
+  else
+    status 404
+    "User not found."
+  end
+end
+
+# ダミーのユーザーデータ取得関数
+def fetch_user_data(user_id)
+  # 実際にはデータベースなどからデータを取得する
+  users = {
+    '101' => 'Alice',
+    '102' => 'Bob',
+    '103' => 'Charlie'
+  }
+  users[user_id]
+end
+
+# 実行方法:
+# 1. このファイルを保存
+# 2. ターミナルで `ruby demo/idor_vulnerability.rb` を実行
+# 3. ブラウザで `http://localhost:4567/user_info/101` にアクセスすると Alice の情報が表示される。
+# 4. ログインしていない、または権限のないユーザーが `http://localhost:4567/user_info/102` にアクセスすると、
+#    本来アクセス権限がないはずの Bob の情報が表示されてしまう可能性がある。

data/demo/insecure_cookie_vulnerability.rb

@@ -0,0 +1,25 @@
+# frozen_string_literal: true
+
+require 'sinatra'
+
+# 不適切なクッキー属性（HttpOnly, Secure, SameSite 未設定）の脆弱性を含むデモコード
+# セキュリティ関連の属性が設定されていないクッキーを発行する例
+
+# ログイン成功時にセッションクッキーを発行する想定のエンドポイント
+get '/login' do
+  user_id = params['user_id'] # ダミーのユーザーID取得
+
+  # セッションIDをクッキーに設定
+  # HttpOnly, Secure, SameSite 属性が設定されていない
+  # これにより、XSS攻撃によるクッキー情報の窃盗や、CSRF攻撃のリスクが高まる
+  response.set_cookie('session_id', value: "user_#{user_id}_#{Time.now.to_i}")
+
+  "Logged in as user #{user_id}. Session cookie set."
+end
+
+# 実行方法:
+# 1. このファイルを保存
+# 2. ターミナルで `ruby demo/insecure_cookie_vulnerability.rb` を実行
+# 3. ブラウザで `http://localhost:4567/login?user_id=test_user` にアクセス
+#    開発者ツールなどでクッキーを確認すると、session_id クッキーに HttpOnly, Secure, SameSite 属性が付与されていないことがわかる。
+#    HTTPSでアクセスした場合でもSecure属性が付かない。

data/demo/open_redirect_vulnerability.rb

@@ -0,0 +1,22 @@
+# frozen_string_literal: true
+
+require 'sinatra'
+
+# オープンリダイレクトの脆弱性を含むデモコード
+# ユーザーからの入力（URL）を検証せずにリダイレクト先に指定している例
+
+get '/redirect' do
+  # ユーザーからの入力 (url) を取得
+  redirect_url = params['url']
+
+  # 取得した入力をそのままリダイレクト先に指定
+  # ここにオープンリダイレクトの脆弱性がある
+  redirect redirect_url
+end
+
+# 実行方法:
+# 1. このファイルを保存
+# 2. ターミナルで `ruby demo/open_redirect_vulnerability.rb` を実行
+# 3. ブラウザで `http://localhost:4567/redirect?url=https://malicious-site.example.com` にアクセス
+#    悪意のあるサイトにリダイレクトされてしまう。
+#    フィッシング詐欺などに悪用される可能性がある。

data/demo/static_analysis_vulnerability.rb

@@ -0,0 +1,18 @@
+# This file contains a vulnerability detectable by static analysis tools like Brakeman.
+
+require 'sqlite3'
+
+def find_user(username)
+  db = SQLite3::Database.open 'users.db'
+  # Vulnerable to SQL injection
+  query = "SELECT * FROM users WHERE username = '#{username}'"
+  puts "Executing query: #{query}"
+  db.execute query
+rescue SQLite3::Exception => e
+  puts "Exception occurred: #{e}"
+ensure
+  db.close if db
+end
+
+# Example usage (vulnerable)
+# find_user("' OR '1'='1")