Edited at

自分がプロジェクトで使っているGemの脆弱性チェックしてる?

More than 1 year has passed since last update.

自分のプロジェクトでGem使ってますか?

定期的に新しいバージョンがあるかチェックしたり、更新していますか?

その更新するかどうかの基準として脆弱性チェックしていますか?

Gemfileに登録しているgemを管理する(脆弱性があるかとか)のに使えそうな情報をまとめてみました。


新しいバージョンが来たら通知してくれる(RSS)


GithubのRSS(https://github.com/)

例: rails https://github.com/rails/rails/releases.atom

Githubで管理されているgemの場合はこっち


rubygemorgのRSS(https://rubygems.org/)

例: rails https://rubygems.org/gems/rails/versions.atom

rubygemに登録されている場合はこっち


新しいバージョンがあるかチェックするツール


bundle outdated(http://bundler.io/v1.13/bundle_outdated.html)

bundileコマンド。もっと新しいバージョンが入手可能かどうか調べてくれる。


脆弱性情報RSS


ruby-security-ann(https://groups.google.com/forum/#!forum/ruby-security-ann)

Ruby Gemの脆弱性情報RSS


Ruby on Rails: Security(https://groups.google.com/forum/#!forum/rubyonrails-security)

Ruby on Railsの脆弱性情報RSS


脆弱診断チェックツール


Gemnasium(https://gemnasium.com/)

アカウント登録し、リポジトリを登録すると、脆弱性があるとメールを飛ばしたりする機能がある

画面はRubyGemsOrgっぽい感じ。

プライベートブランチは有料

@spring_aki さんに教えて頂きました。


bundler-audit(https://github.com/rubysec/bundler-audit)

Gem。コマンドでインストールされているgemの脆弱性をチェックする


Is it vulnerable?(https://isitvulnerable.com/)

トップページのドロップエリアへGemfile.lockをドロップすると、そこに書かれたGemの脆弱性情報の一覧を表示してくれる。

[参考サイト]http://www.softantenna.com/wp/webservice/is-it-vulnerable/


脆弱性情報


ruby-advisory-db(https://github.com/rubysec/ruby-advisory-db)

上記のチェックツールの参照してる脆弱性情報データ

ymlで管理されてる


補足情報

ruby-advisory-dbに書いてるCVEについて


CVE(http://cve.mitre.org/)

脆弱性情報データベース

Common Vulnerabilities and Exposures(共通脆弱性識別子)の略称


JVN(http://jvndb.jvn.jp/)

脆弱性情報データベース

CVEについて日本語で調べたりできる。