GitHubに自作のRailsアプリをプッシュしてしばらくたったところ、
以下のような警告が表示されました
We found a potential security vulnerability in one of your dependencies. A dependency defined in ./Gemfile.lock has known security vulnerabilities and should be updated. 貴方の依存関係の内の一つに 潜在的なセキュリティの脆弱性を発見しました。 Gemfile.lockに定義されている依存関係は既知のセキュリティ脆弱性がありアップデートが強く求められます。
ともかく警告に従いDependency graphというものを調べたところ、
Dependencies defined in ./Gemfile.lock flavorjones / loofah
がハイライトされ以下のような警告がありました。
Known vulnerability found CVE-2018-8048 Moderate severity Loofah allows non-whitelisted attributes to be present in sanitized output when input with specially-crafted HTML fragments. Loofahは、 特別に加工されたHTMLの断片が入力されたとき、 サニタイズされた出力に於いて、 ホワイトリストに入っていない属性が存在することを受け入れてしまいます。
Gemfile.lock update suggested: loofah ~> 2.2.1 Always verify the validity and compatibility of suggestions with your codebase. Gemfile.lockを以下のように更新することを推奨します。 loofah ~> 2.2.1 提案内容についての信頼性と互換性を、 貴方のコードにもとづいて 常に検証してください、
正直に言うとこのようなことは初めてであり、どのようにするべきなのか
よくわかりません。gemの依存関係がある事は知っていましたが、具体的な
知見は無くDependency graphが何なのかもよくわかりません。
Gemfile.lockを編集したことは無いのですが、提案の通りに
Gemfile.lockをloofah ~> 2.2.1にすればよいのでしょうか?
当質問を記述中に以下のような情報を見つけました。
https://qiita.com/taktakfu/items/471333d3dd2c9e935949
bundle updateをすればよいのでしょうか?
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/03/26 00:49