Githubの脆弱性(vulnerability)アラートの対応


記事の目的

初学者の為、間違っているところはご指摘頂けると幸いです。
備忘録・アウトプット目的で投稿しております。
初学者で微力ながら、少しでもお役に立てればという気持ちもあります。

Githubからの通知(メールにて)

セキュリティの脆弱性がある、actionviewを6.0.3.3にせよ。との通知。
ここで注意点ですが、Gemfile.lockと書いてますが、Gemfile.lockはBundlerが自動的に作成・更新するファイルなので、開発者が独自に編集してはいけません。(チェリー本P430から引用)。
変更する場合は、gemfileです。

Github上のアラート情報

ここでも、actionviewを6.0.3.3にせよ、と言っている。

対処

こちらの記事を参考にしてみる。
https://qiita.com/Nash-BETA/items/0d4e876cf9460778b985
しかし、actionviewは、gemfileにない。修正できんぞ。。

こちらの記事を参考にしてみる。
https://reasonable-code.com/github-security-alert/
指示に従い、以下のようにupdateするも以下のようにversionはそのままです、と言われる。 6.0.3.3に変更できんぞ。。

$ bundle update actionview Bundler attempted to update actionview but its version stayed the same Bundle updated!
https://reasonable-code.com/github-security-alert/

以下のteratailの回答を参考にしてみる。
https://teratail.com/questions/249997 
https://teratail.com/questions/240417
actionviewを変更するには、rails自体のgemを変更する必要があると書いてある。

ここが解決のヒントとなりました!!
actionviewに依存関係のあるRailsのバージョンを上げます。

gem 'rails', '~> 6.0.3', '>= 6.0.3.2'

から

gem 'rails', '~> 6.0.3', '>= 6.0.3.3'

に変更して、bundle update。

$ bundle update
Fetching gem metadata from https://rubygems.org/............
Fetching gem metadata from https://rubygems.org/.
Resolving dependencies...........
Using actionview 6.0.3.3 (was 6.0.3.2)

6.0.3.3に変更できているみたい。。
gemfile.lockを確認してみると。

actionview (= 6.0.3.3)

無事に変更できています!!
githubのアラート情報も無事消えておりました。