Вы не можете определить вещи с точки зрения «покрытия» OWASP Top 10, поскольку они являются категориями уязвимостей, иногда очень широкими.
A1 Injection
кондуктор обнаруживает инъекции SQL и инъекции команды.
A2 Разбитая Аутентификация и управление сессиями
кондуктор предупреждает о небезопасных использовании Basic Auth и плохих настройках сеанса. Тем не менее, A2 действительно касается того, как приложения реализуют аутентификацию и управление сеансами. Обнаружение, если это сделано плохо, довольно сложно.
A3 Cross-Site Scripting (XSS)
кондуктор предупреждает о многих экземплярах и вариации XSS.
А4 небезопасной Прямая Ссылки на объект
кондуктор имеет дополнительный чек на unscoped finds, которые являются экземпляром IDOR.
A5 безопасности Неправильная
Это чаще проблема на уровне сервера и невероятно широк. Brakeman обнаруживает, когда SSL verification is turned off for HTTP calls.
A6 Чувствительный данных экспозиции
A6 в основном о хранении/передачи данных в незашифрованном виде. Brakeman этого не обнаруживает.
A7 Missing Функция Уровень управления доступом
кондуктор не обнаруживает это. Довольно сложно догадаться, что должно и не должно иметь контроля доступа.
A8 Запрос Cross-Site подлог (CSRF)
кондуктора предупреждает о отключенном CSRF и небезопасных конфигурациях.
A9 Использование компонентов с известными уязвимостями
кондуктор предупреждает только о CVEs в Rails. Используйте bundler-audit для других зависимостей.
A10 непроверенных Перенаправление и Нападающие
кондуктор предупреждает о open redirects.
Имейте в виду OWASP Top 10 является хорошим ресурсом, но не является исчерпывающим (только "Top 10"). Brakeman's warning categories даст вам представление о других проблемах, которые он обнаруживает.
Посмотрите на список типов предупреждений, которые Brakeman дает [здесь] (http://brakemanscanner.org/docs/warning_types/), а затем вы можете сопоставить их с списком OWASP. –