主要观点：开放源代码技术改进基金分享了对 Ruby on Rails 的安全审计结果，Ruby on Rails 是开源全栈网络应用框架，此次审计在 2024 年 12 月至 2025 年 3 月进行，涉及 5 个利益相关者，审计由 X41 D-Sec 团队完成，GitLab 提供支持。
关键信息：

• 审计过程历时 4 个月，先创建威胁模型，再进行手动代码审计。
• 审计结果有 7 项安全影响发现（1 项高、6 项低）、6 项强化建议和自定义威胁建模。
• 报告指出 Ruby on Rails 安全性近年已成熟，还详细说明了项目安全改进领域及因项目规模和时间限制未涵盖的领域。
  重要细节：
• 参与审计的有 X41 D-Sec（Eric Sesterhenn 等）、GitLab（Joern Schneeweisz）、主权技术机构。
• 可阅读审计报告HERE和 X41 D-Sec 博客HERE。
• OSTIF 庆祝 10 周年，可通过其会议日历[https://lu.ma/ostif-meetups]参与相关活动。