[RAILS] Réponse aux alertes de vulnérabilité Github

Objet de l'article

Puisque je suis un débutant, je vous serais reconnaissant si vous pouviez signaler des erreurs. Publié à des fins de mémorandum et de sortie. Même si je suis débutant, j'ai le désir d'aider même un peu.

Notification de Github (par email)

7d5e164d16c659f78495edebd0a4a08c.png

Définissez actionview sur 6.0.3.3, ce qui est vulnérable à la sécurité. Notification avec. Notez que Gemfile.lock est écrit ici, mais comme Gemfile.lock est un fichier que Bundler crée et met à jour automatiquement, les développeurs ne doivent pas le modifier eux-mêmes. (Cité du livre Cherry P430). Si vous voulez le changer, c'est un gemfile.

Informations d'alerte sur Github

719c7944626cdcd0c51db76d40092759.png

Encore une fois, je vous dis de définir l'actionview sur 6.0.3.3.

Faire face

Veuillez consulter cet article. https://qiita.com/Nash-BETA/items/0d4e876cf9460778b985 Cependant, la vue d'action n'est pas dans le fichier gem. Je ne peux pas le réparer. ..

Veuillez consulter cet article. https://reasonable-code.com/github-security-alert/ On dit que même si vous suivez les instructions et mettez à jour comme suit, la version reste la même que ci-dessous. Je ne peux pas le changer en 6.0.3.3. ..

$ bundle update actionview Bundler attempted to update actionview but its version stayed the same Bundle updated!
https://reasonable-code.com/github-security-alert/

Veuillez vous référer à la réponse de teratail ci-dessous. https://teratail.com/questions/249997  https://teratail.com/questions/240417 Il dit que pour changer la vue d'action, vous devez changer le joyau des rails lui-même.

Voici un indice pour la solution! !! Augmentez la version de Rails qui dépend de l'actionview.

gem 'rails', '~> 6.0.3', '>= 6.0.3.2'

De

gem 'rails', '~> 6.0.3', '>= 6.0.3.3'

Passer à la mise à jour du bundle.

$ bundle update
Fetching gem metadata from https://rubygems.org/............
Fetching gem metadata from https://rubygems.org/.
Resolving dependencies...........
Using actionview 6.0.3.3 (was 6.0.3.2)

Il semble qu'il puisse être changé en 6.0.3.3. .. Vérifiez gemfile.lock.

actionview (= 6.0.3.3)

J'ai pu le changer en toute sécurité! !! Les informations d'alerte sur github ont également disparu.

Recommended Posts

Réponse aux alertes de vulnérabilité Github
Envoyer une pull request à GitHub
Accro à l'importation de projets depuis GitHub
Que faire si vous recevez une alerte de vulnérabilité MiniMagick sur GitHub