Githubの脆弱性(vulnerability)アラートの対応
記事の目的
初学者の為、間違っているところはご指摘頂けると幸いです。
備忘録・アウトプット目的で投稿しております。
初学者で微力ながら、少しでもお役に立てればという気持ちもあります。
Githubからの通知(メールにて)
セキュリティの脆弱性がある、actionviewを6.0.3.3にせよ。との通知。
ここで注意点ですが、Gemfile.lockと書いてますが、Gemfile.lockはBundlerが自動的に作成・更新するファイルなので、開発者が独自に編集してはいけません。(チェリー本P430から引用)。
変更する場合は、gemfileです。
Github上のアラート情報
ここでも、actionviewを6.0.3.3にせよ、と言っている。
対処
こちらの記事を参考にしてみる。
https://qiita.com/Nash-BETA/items/0d4e876cf9460778b985
しかし、actionviewは、gemfileにない。修正できんぞ。。
こちらの記事を参考にしてみる。
https://reasonable-code.com/github-security-alert/
指示に従い、以下のようにupdateするも以下のようにversionはそのままです、と言われる。 6.0.3.3に変更できんぞ。。
$ bundle update actionview Bundler attempted to update actionview but its version stayed the same Bundle updated!
https://reasonable-code.com/github-security-alert/
以下のteratailの回答を参考にしてみる。
https://teratail.com/questions/249997
https://teratail.com/questions/240417
actionviewを変更するには、rails自体のgemを変更する必要があると書いてある。
ここが解決のヒントとなりました!!
actionviewに依存関係のあるRailsのバージョンを上げます。
gem 'rails', '~> 6.0.3', '>= 6.0.3.2'
から
gem 'rails', '~> 6.0.3', '>= 6.0.3.3'
に変更して、bundle update。
$ bundle update
Fetching gem metadata from https://rubygems.org/............
Fetching gem metadata from https://rubygems.org/.
Resolving dependencies...........
Using actionview 6.0.3.3 (was 6.0.3.2)
6.0.3.3に変更できているみたい。。
gemfile.lockを確認してみると。
actionview (= 6.0.3.3)
無事に変更できています!!
githubのアラート情報も無事消えておりました。
Author And Source
この問題について(Githubの脆弱性(vulnerability)アラートの対応), 我々は、より多くの情報をここで見つけました https://qiita.com/zenfumi/items/e8d4a02f9674934539fb著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .