Posted at

Bundlerで使ってるgemに脆弱性がないかチェックするツール

More than 5 years have passed since last update.

最近、railsやらjsonやらの広く使われているgemに頻繁に脆弱性が見つかってます。bundler-auditというgemを使うと、簡易的ですが既知の脆弱性があるgemをGemfile.lockで参照していないかをチェック出来ます。

$ gem install bundler-audit

$ bundle-audit
Name: rack
Version: 1.4.3
CVE: 2013-0263
Criticality: High
URL: http://osvdb.org/show/osvdb/89939
Title: Rack Rack::Session::Cookie Function Timing Attack Remote Code Execution
Solution: upgrade to ~> 1.1.6, ~> 1.2.8, ~> 1.3.10, ~> 1.4.5, >= 1.5.2

Name: rails
Version: 3.2.11
CVE: 2013-0276
Criticality: Medium
URL: http://direct.osvdb.org/show/osvdb/90072
Title: Ruby on Rails Active Record attr_protected Method Bypass
Solution: upgrade to ~> 2.3.17, ~> 3.1.11, >= 3.2.12

Unpatched versions found!

https://github.com/postmodern/bundler-audit/tree/master/data/bundler/audit

上のソースを見てもらえればわかるのですが、マニュアルでデータが管理されてるだけなので、本当の意味で安全かを確認することは当然できないですが。。。