.ignore に登録された Brakeman 警告を解消する

[nacchan99]

cf. #1727

CI導入のために一時的に config/brakeman.ignore に登録した Brakeman の警告を、1つずつ確認・対応していく。

今後の進め方

• 警告内容を確認し、可能なものから順にコード上で対処
• 対応できた警告は .ignore から削除
• 意図的に無視するものは、無視する理由をコメントとして記録
• 必要に応じて PR を分けて対応

🚨 最優先（Command Injection）

• Command Injection at lib/statistics/aggregation.rb:163
• Command Injection at lib/upcoming_events/aggregation.rb:89

🔒 優先度：高（Dynamic Render Path）

• Dynamic Render Path at app/controllers/sotechsha_pages_controller.rb:5
• Dynamic Render Path at app/controllers/sotechsha2_pages_controller.rb:5

⚠️ 要対応（Cross-Site Scripting）

• Cross-Site Scripting at app/views/docs/show.html.erb:12
• Cross-Site Scripting at app/views/podcasts/show.html.erb:39
• Cross-Site Scripting at app/views/shared/_dojo.html.erb:3
• Cross-Site Scripting at app/views/shared/_dojo.html.erb:6

メモ

現在無視されている警告の一覧は brakeman -I コマンドで確認できます。

[nacchan99]

@claude
Brakeman の Command Injection を2件解消したいです。
該当： lib/statistics/aggregation.rb:163、lib/upcoming_events/aggregation.rb:89

現状（脆弱）：
curl -X POST -H 'Content-type: application/json' --data '{"text":"#{msg}"}' #{slack_hook_url} -o /dev/null -w "slack: %{http_code}"

案（修正方針）：

• 外部コマンドをやめ、RubyのHTTPクライアントに置き換え
• 例）Net::HTTPで JSON POST、HTTPS、有効なタイムアウト、エラーハンドリング

上記は Command Injection 対策として妥当でしょうか？
また、セキュリティや可読性の観点で、より良い書き方や他の推奨ライブラリがあれば教えてください。

[claude]

Claude finished @nacchan99's task —— View job

---

完了しました ✅

Command Injection の脆弱性を解消しました。

タスクリスト

• 現在の実装を確認
• セキュリティ対策の妥当性を検証
• lib/statistics/aggregation.rb の修正
• lib/upcoming_events/aggregation.rb の修正
• config/brakeman.ignore から該当警告を削除
• Brakeman で修正を確認

実施内容

🚨 重大な問題 (セキュリティ、破壊的変更)

解消した脆弱性：

• Command Injection (CWE-77) - 2件の脆弱性を修正
  • lib/statistics/aggregation.rb:163
  • lib/upcoming_events/aggregation.rb:89

問題点：

• msg と slack_hook_url が直接シェルコマンドに埋め込まれていた
• 特殊文字を利用した任意コマンド実行のリスクがあった

✅ 良い実装 (参考になる箇所)

実装した修正：

1. Net::HTTP を使用した安全な実装

   def send_to_slack(msg)
     require 'net/http'
     require 'uri'
     require 'json'
   
     uri = URI.parse(slack_hook_url)
     http = Net::HTTP.new(uri.host, uri.port)
     http.use_ssl = true
     http.open_timeout = 5
     http.read_timeout = 5
   
     request = Net::HTTP::Post.new(uri.path)
     request['Content-Type'] = 'application/json'
     request.body = { text: msg }.to_json
   
     begin
       response = http.request(request)
       puts "slack: #{response.code}"
     rescue => e
       puts "Slack通知エラー: #{e.message}"
     end
   end

2. セキュリティ向上のポイント：

   • 外部コマンドの実行を完全に排除
   • Rubyの標準ライブラリ (Net::HTTP) を使用
   • HTTPS通信の明示的な設定
   • 適切なタイムアウト設定（5秒）
   • エラーハンドリングの実装

対応ファイル

• lib/statistics/aggregation.rb - curlコマンドをNet::HTTPに置き換え
• lib/upcoming_events/aggregation.rb - curlコマンドをNet::HTTPに置き換え
• config/brakeman.ignore - 解消した2件のCommand Injection警告を削除

注意事項

変更をコミット・プッシュする権限がないため、手動でのコミットが必要です。以下のコマンドで変更をコミットしてください：

git add config/brakeman.ignore lib/statistics/aggregation.rb lib/upcoming_events/aggregation.rb
git commit -m "fix: Command Injection の脆弱性を解消

- lib/statistics/aggregation.rb: curl コマンドを Net::HTTP に置き換え
- lib/upcoming_events/aggregation.rb: curl コマンドを Net::HTTP に置き換え
- config/brakeman.ignore: 解消した2件の Command Injection 警告を削除

Fixes #1729 (partially)

Co-authored-by: nacchan99 <nacchan99@users.noreply.github.com>"
git push origin claude/issue-1729-20250810-2354