Githubの脆弱性(vulnerability)アラートの対応

3037 ワード

Gem 初学者 Rails Rails テキストリンク

記事の目的

初学者の為、間違っているところはご指摘頂けると幸いです。
備忘録・アウトプット目的で投稿しております。
初学者で微力ながら、少しでもお役に立てればという気持ちもあります。

Githubからの通知（メールにて）

セキュリティの脆弱性がある、actionviewを6.0.3.3にせよ。との通知。
ここで注意点ですが、Gemfile.lockと書いてますが、Gemfile.lockはBundlerが自動的に作成・更新するファイルなので、開発者が独自に編集してはいけません。（チェリー本P430から引用）。
変更する場合は、gemfileです。

Github上のアラート情報

ここでも、actionviewを6.0.3.3にせよ、と言っている。

対処

こちらの記事を参考にしてみる。
https://qiita.com/Nash-BETA/items/0d4e876cf9460778b985
しかし、actionviewは、gemfileにない。修正できんぞ。。

こちらの記事を参考にしてみる。
https://reasonable-code.com/github-security-alert/
指示に従い、以下のようにupdateするも以下のようにversionはそのままです、と言われる。 6.0.3.3に変更できんぞ。。

$ bundle update actionview Bundler attempted to update actionview but its version stayed the same Bundle updated!
https://reasonable-code.com/github-security-alert/

以下のteratailの回答を参考にしてみる。
https://teratail.com/questions/249997　
https://teratail.com/questions/240417
actionviewを変更するには、rails自体のgemを変更する必要があると書いてある。

ここが解決のヒントとなりました！！
actionviewに依存関係のあるRailsのバージョンを上げます。

gem 'rails', '~> 6.0.3', '>= 6.0.3.2'

から

gem 'rails', '~> 6.0.3', '>= 6.0.3.3'

に変更して、bundle update。

$ bundle update
Fetching gem metadata from https://rubygems.org/............
Fetching gem metadata from https://rubygems.org/.
Resolving dependencies...........
Using actionview 6.0.3.3 (was 6.0.3.2)

6.0.3.3に変更できているみたい。。
gemfile.lockを確認してみると。

actionview (= 6.0.3.3)

無事に変更できています！！
githubのアラート情報も無事消えておりました。

Author And Source

この問題について(Githubの脆弱性(vulnerability)アラートの対応), 我々は、より多くの情報をここで見つけました https://qiita.com/zenfumi/items/e8d4a02f9674934539fb

著者帰属：元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。

Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .