omamori 0.1.1 → 0.1.4

data/lib/omamori/version.rb

@@ -1,5 +1,5 @@
 # frozen_string_literal: true
 
 module Omamori
-  VERSION = "0.1.1"
+  VERSION = "0.1.4"
 end

metadata

@@ -1,14 +1,14 @@
 --- !ruby/object:Gem::Specification
 name: omamori
 version: !ruby/object:Gem::Version
-  version: 0.1.1
+  version: 0.1.4
 platform: ruby
 authors:
 - rira100000000
 autorequire: 
 bindir: exe
 cert_chain: []
-date: 2025-04-29 00:00:00.000000000 Z
+date: 2025-05-18 00:00:00.000000000 Z
 dependencies:
 - !ruby/object:Gem::Dependency
   name: colorize
@@ -38,6 +38,48 @@ dependencies:
     - - "~>"
       - !ruby/object:Gem::Version
         version: '2.0'
+- !ruby/object:Gem::Dependency
+  name: ruby-gemini-api
+  requirement: !ruby/object:Gem::Requirement
+    requirements:
+    - - "~>"
+      - !ruby/object:Gem::Version
+        version: 0.1.1
+  type: :runtime
+  prerelease: false
+  version_requirements: !ruby/object:Gem::Requirement
+    requirements:
+    - - "~>"
+      - !ruby/object:Gem::Version
+        version: 0.1.1
+- !ruby/object:Gem::Dependency
+  name: brakeman
+  requirement: !ruby/object:Gem::Requirement
+    requirements:
+    - - "~>"
+      - !ruby/object:Gem::Version
+        version: '7.0'
+  type: :runtime
+  prerelease: false
+  version_requirements: !ruby/object:Gem::Requirement
+    requirements:
+    - - "~>"
+      - !ruby/object:Gem::Version
+        version: '7.0'
+- !ruby/object:Gem::Dependency
+  name: bundler-audit
+  requirement: !ruby/object:Gem::Requirement
+    requirements:
+    - - "~>"
+      - !ruby/object:Gem::Version
+        version: 0.9.2
+  type: :runtime
+  prerelease: false
+  version_requirements: !ruby/object:Gem::Requirement
+    requirements:
+    - - "~>"
+      - !ruby/object:Gem::Version
+        version: 0.9.2
 - !ruby/object:Gem::Dependency
   name: bundler
   requirement: !ruby/object:Gem::Requirement
@@ -94,20 +136,6 @@ dependencies:
     - - "~>"
       - !ruby/object:Gem::Version
         version: '1.0'
-- !ruby/object:Gem::Dependency
-  name: ruby-gemini-api
-  requirement: !ruby/object:Gem::Requirement
-    requirements:
-    - - "~>"
-      - !ruby/object:Gem::Version
-        version: 0.1.0
-  type: :development
-  prerelease: false
-  version_requirements: !ruby/object:Gem::Requirement
-    requirements:
-    - - "~>"
-      - !ruby/object:Gem::Version
-        version: 0.1.0
 description: omamori scans Ruby code and diffs using AI (Google Gemini) to detect
   security vulnerabilities often missed by traditional tools.
 email:
@@ -130,14 +158,6 @@ files:
 - demo/open_redirect_vulnerability.rb
 - demo/static_analysis_vulnerability.rb
 - demo/xss_vulnerability.rb
-- demo_/ai_analysis_vulnerability.rb
-- demo_/csrf_vulnerability.rb
-- demo_/eval_vulnerability.rb
-- demo_/idor_vulnerability.rb
-- demo_/insecure_cookie_vulnerability.rb
-- demo_/open_redirect_vulnerability.rb
-- demo_/static_analysis_vulnerability.rb
-- demo_/xss_vulnerability.rb
 - exe/omamori
 - lib/omamori.rb
 - lib/omamori/ai_analysis_engine/diff_splitter.rb

data/demo_/ai_analysis_vulnerability.rb

@@ -1,28 +0,0 @@
-# This file contains vulnerabilities that AI analysis can help detect.
-
-require 'net/http'
-require 'uri'
-
-API_KEY = "HARDCODED_SECRET_API_KEY_12345" # Hardcoded sensitive information
-
-def fetch_data(user_input)
-  # Insufficient input validation
-  if user_input.length > 100
-    puts "Input too long, truncating."
-    user_input = user_input[0..99]
-  end
-
-  uri = URI("https://api.example.com/data?query=#{user_input}&api_key=#{API_KEY}")
-  response = Net::HTTP.get_response(uri)
-
-  if response.is_a?(Net::HTTPSuccess)
-    puts "Data fetched successfully: #{response.body}"
-  else
-    # Poor error handling - reveals internal details
-    puts "Error fetching data: #{response.code} - #{response.message}"
-  end
-end
-
-# Example usage
-# fetch_data("some data")
-# fetch_data("a" * 200) # Long input

data/demo_/csrf_vulnerability.rb

@@ -1,31 +0,0 @@
-# frozen_string_literal: true
-
-require 'sinatra'
-
-# CSRF (Cross-Site Request Forgery) の脆弱性を含むデモコード
-# フォーム送信時にCSRFトークンによる検証を行っていない例
-
-# ユーザー情報を更新する想定のPOSTエンドポイント
-post '/update_profile' do
-  # 本来はここでCSRFトークンの検証が必要だが、省略されている
-  user_id = params['user_id']
-  new_email = params['email']
-
-  # ユーザー情報の更新処理 (実際には行わない)
-  puts "ユーザー #{user_id} のメールアドレスを #{new_email} に更新しました。"
-
-  "Profile updated for user #{user_id}."
-end
-
-# 実行方法:
-# 1. このファイルを保存
-# 2. ターミナルで `ruby demo/csrf_vulnerability.rb` を実行
-# 3. 攻撃者は、このエンドポイントへのPOSTリクエストをユーザーに意図せず実行させるような細工を施したページを作成し、ユーザーを誘導する。
-#    例えば、以下のようなHTMLを含むページを別のサイトに用意する:
-#    <form action="http://localhost:4567/update_profile" method="post">
-#      <input type="hidden" name="user_id" value="123">
-#      <input type="hidden" name="email" value="attacker@example.com">
-#      <input type="submit" value="Click me!">
-#    </form>
-#    または、JavaScriptを使って自動的にPOSTリクエストを送信させる。
-#    ユーザーがログインした状態でこのページを閲覧すると、意図せずプロファイルが更新される可能性がある。

data/demo_/eval_vulnerability.rb

@@ -1,29 +0,0 @@
-# frozen_string_literal: true
-
-require 'sinatra'
-
-# 危険な eval／動的コード実行の脆弱性を含むデモコード
-# ユーザーからの入力を eval で直接評価している例
-
-get '/calculate' do
-  # ユーザーからの入力 (expression) を取得
-  expression = params['expression']
-
-  # 取得した入力を eval で評価
-  # ここにコードインジェクションの脆弱性がある
-  # 攻撃者は任意のRubyコードを実行させることが可能になる
-  begin
-    result = eval(expression)
-    "Result: #{result}"
-  rescue StandardError => e
-    status 500
-    "Error: #{e.message}"
-  end
-end
-
-# 実行方法:
-# 1. このファイルを保存
-# 2. ターミナルで `ruby demo/eval_vulnerability.rb` を実行
-# 3. ブラウザで `http://localhost:4567/calculate?expression=2%2B2` にアクセスすると "Result: 4" が表示される。
-# 4. 悪意のある入力を与える例: `http://localhost:4567/calculate?expression=system('ls%20-l')`
-#    サーバー側で `ls -l` コマンドが実行されてしまう可能性がある。

data/demo_/idor_vulnerability.rb

@@ -1,39 +0,0 @@
-# frozen_string_literal: true
-
-require 'sinatra'
-
-# IDOR (Insecure Direct Object Reference) の脆弱性を含むデモコード
-# ユーザーからの入力（ID）を直接使用してリソースにアクセスし、認可チェックを行っていない例
-
-# ユーザー情報を表示する想定のエンドポイント
-get '/user_info/:user_id' do
-  user_id = params['user_id']
-
-  # 本来はここで、リクエストを行ったユーザーが、指定された user_id の情報にアクセスする権限があるかチェックが必要だが、省略されている
-  user_data = fetch_user_data(user_id) # ユーザーIDに基づいてデータを取得する関数を想定
-
-  if user_data
-    "User Info for ID #{user_id}: #{user_data}"
-  else
-    status 404
-    "User not found."
-  end
-end
-
-# ダミーのユーザーデータ取得関数
-def fetch_user_data(user_id)
-  # 実際にはデータベースなどからデータを取得する
-  users = {
-    '101' => 'Alice',
-    '102' => 'Bob',
-    '103' => 'Charlie'
-  }
-  users[user_id]
-end
-
-# 実行方法:
-# 1. このファイルを保存
-# 2. ターミナルで `ruby demo/idor_vulnerability.rb` を実行
-# 3. ブラウザで `http://localhost:4567/user_info/101` にアクセスすると Alice の情報が表示される。
-# 4. ログインしていない、または権限のないユーザーが `http://localhost:4567/user_info/102` にアクセスすると、
-#    本来アクセス権限がないはずの Bob の情報が表示されてしまう可能性がある。

data/demo_/insecure_cookie_vulnerability.rb

@@ -1,25 +0,0 @@
-# frozen_string_literal: true
-
-require 'sinatra'
-
-# 不適切なクッキー属性（HttpOnly, Secure, SameSite 未設定）の脆弱性を含むデモコード
-# セキュリティ関連の属性が設定されていないクッキーを発行する例
-
-# ログイン成功時にセッションクッキーを発行する想定のエンドポイント
-get '/login' do
-  user_id = params['user_id'] # ダミーのユーザーID取得
-
-  # セッションIDをクッキーに設定
-  # HttpOnly, Secure, SameSite 属性が設定されていない
-  # これにより、XSS攻撃によるクッキー情報の窃盗や、CSRF攻撃のリスクが高まる
-  response.set_cookie('session_id', value: "user_#{user_id}_#{Time.now.to_i}")
-
-  "Logged in as user #{user_id}. Session cookie set."
-end
-
-# 実行方法:
-# 1. このファイルを保存
-# 2. ターミナルで `ruby demo/insecure_cookie_vulnerability.rb` を実行
-# 3. ブラウザで `http://localhost:4567/login?user_id=test_user` にアクセス
-#    開発者ツールなどでクッキーを確認すると、session_id クッキーに HttpOnly, Secure, SameSite 属性が付与されていないことがわかる。
-#    HTTPSでアクセスした場合でもSecure属性が付かない。

data/demo_/open_redirect_vulnerability.rb

@@ -1,22 +0,0 @@
-# frozen_string_literal: true
-
-require 'sinatra'
-
-# オープンリダイレクトの脆弱性を含むデモコード
-# ユーザーからの入力（URL）を検証せずにリダイレクト先に指定している例
-
-get '/redirect' do
-  # ユーザーからの入力 (url) を取得
-  redirect_url = params['url']
-
-  # 取得した入力をそのままリダイレクト先に指定
-  # ここにオープンリダイレクトの脆弱性がある
-  redirect redirect_url
-end
-
-# 実行方法:
-# 1. このファイルを保存
-# 2. ターミナルで `ruby demo/open_redirect_vulnerability.rb` を実行
-# 3. ブラウザで `http://localhost:4567/redirect?url=https://malicious-site.example.com` にアクセス
-#    悪意のあるサイトにリダイレクトされてしまう。
-#    フィッシング詐欺などに悪用される可能性がある。

data/demo_/static_analysis_vulnerability.rb

@@ -1,18 +0,0 @@
-# This file contains a vulnerability detectable by static analysis tools like Brakeman.
-
-require 'sqlite3'
-
-def find_user(username)
-  db = SQLite3::Database.open 'users.db'
-  # Vulnerable to SQL injection
-  query = "SELECT * FROM users WHERE username = '#{username}'"
-  puts "Executing query: #{query}"
-  db.execute query
-rescue SQLite3::Exception => e
-  puts "Exception occurred: #{e}"
-ensure
-  db.close if db
-end
-
-# Example usage (vulnerable)
-# find_user("' OR '1'='1")

data/demo_/xss_vulnerability.rb

@@ -1,21 +0,0 @@
-# frozen_string_literal: true
-
-require 'sinatra'
-
-# XSS (Cross-Site Scripting) の脆弱性を含むデモコード
-# ユーザーからの入力を適切にエスケープせずにHTMLに出力している例
-
-get '/greet' do
-  # ユーザーからの入力 (name) を取得
-  name = params['name']
-
-  # 取得した入力をそのままHTMLに埋め込んで出力
-  # ここにXSSの脆弱性がある
-  "<h1>Hello, #{name}!</h1>"
-end
-
-# 実行方法:
-# 1. このファイルを保存
-# 2. ターミナルで `ruby demo/xss_vulnerability.rb` を実行
-# 3. ブラウザで `http://localhost:4567/greet?name=<script>alert('XSS')</script>` にアクセス
-#    アラートが表示されれば脆弱性がある