自分のプロジェクトでGem使ってますか?
定期的に新しいバージョンがあるかチェックしたり、更新していますか?
その更新するかどうかの基準として脆弱性チェックしていますか?
Gemfileに登録しているgemを管理する(脆弱性があるかとか)のに使えそうな情報をまとめてみました。
新しいバージョンが来たら通知してくれる(RSS)
GithubのRSS(https://github.com/)
例: rails https://github.com/rails/rails/releases.atom
Githubで管理されているgemの場合はこっち
rubygemorgのRSS(https://rubygems.org/)
例: rails https://rubygems.org/gems/rails/versions.atom
rubygemに登録されている場合はこっち
新しいバージョンがあるかチェックするツール
bundle outdated(http://bundler.io/v1.13/bundle_outdated.html)
bundileコマンド。もっと新しいバージョンが入手可能かどうか調べてくれる。
脆弱性情報RSS
ruby-security-ann(https://groups.google.com/forum/#!forum/ruby-security-ann)
Ruby Gemの脆弱性情報RSS
Ruby on Rails: Security(https://groups.google.com/forum/#!forum/rubyonrails-security)
Ruby on Railsの脆弱性情報RSS
脆弱診断チェックツール
Gemnasium(https://gemnasium.com/)
アカウント登録し、リポジトリを登録すると、脆弱性があるとメールを飛ばしたりする機能がある
画面はRubyGemsOrgっぽい感じ。
プライベートブランチは有料
@spring_aki さんに教えて頂きました。
bundler-audit(https://github.com/rubysec/bundler-audit)
Gem。コマンドでインストールされているgemの脆弱性をチェックする
Is it vulnerable?(https://isitvulnerable.com/)
トップページのドロップエリアへGemfile.lockをドロップすると、そこに書かれたGemの脆弱性情報の一覧を表示してくれる。
[参考サイト]http://www.softantenna.com/wp/webservice/is-it-vulnerable/
脆弱性情報
ruby-advisory-db(https://github.com/rubysec/ruby-advisory-db)
上記のチェックツールの参照してる脆弱性情報データ
ymlで管理されてる
補足情報
ruby-advisory-dbに書いてるCVEについて
CVE(http://cve.mitre.org/)
脆弱性情報データベース
Common Vulnerabilities and Exposures(共通脆弱性識別子)の略称
JVN(http://jvndb.jvn.jp/)
脆弱性情報データベース
CVEについて日本語で調べたりできる。