Ваш механизм аутентификации и авторизации отвечает за обеспечение безопасности для вас, и вы должны убедиться, что он регулярно обновляется с обновлениями безопасности.
Ощущение, которое вы испытываете из-за того, что что-то упустили, может быть надежно покрыто только тестами. Итак, напишите несколько тестов, которые подтверждают, что способ установки вашей Devise, на самом деле, правильный, и что они, не являющиеся администраторами, не имеют доступа ни к чему, к чему у них не должно быть доступа. Затем будьте очень внимательны, чтобы не обновлять ограничения безопасности по мере добавления новых вещей.
Вы не должны писать тесты, чтобы убедиться, что Devise работает - но вам делать нужно писать тесты, чтобы убедиться, что вы используете их именно так, как вы думаете (т. е. если не администраторы не могут получить доступ к странице администратора, напишите тест, который входит в систему как не администратор, попробуйте получить доступ к этой странице и проверьте в тесте, что пользователь перенаправлен, и, если вы есть сообщение «Отказано в доступе», это увольнение). Таким образом, если вы случайно нарушите доступ к безопасности позже, у вас будет хотя бы шанс, что он будет обнаружен тестом в вашем наборе тестов.
Запускайте свой набор тестов перед каждым развертыванием, убедившись, что все тесты (особенно тесты безопасности) выполняются и проходят. Затем будьте бдительны, и это все, что вы можете сделать.