GitHubからセキュリティ警告のメールが来た

More than 1 year has passed since last update.


セキュリティ警告のメール

RailsTutorialのコードをGitHubに置いていたら、GitHubから以下のメールが届きました。

GitHubの該当リポジトリにアクセスすると、メールと同様に警告メッセージが表示されていました。


We found a potential security vulnerability in a repository for which you have been granted security alert access.

Known moderate severity security vulnerability detected in loofah < 2.2.1 defined in Gemfile.lock.

Gemfile.lock update suggested: loofah ~> 2.2.1.


ググってみたところ、2017年11月から、GitHubでセキュリティ検知の機能が提供されているそうです。

GitHubのヘルプページ

マイナビニュース GitHubにセキュリティアラート機能、JSとRubyに対応 - Pythonは来年


警告内容の確認

メールによると、loofahというgemのバージョンを2.2.1以上にアップデートしなさいということみたいです。

Gemfile.lockを確認したところ、loofah (2.2.0)となっていました。

Gemfileには、loofahの記述はないので、何かのgemに依存しているようです。

RubyGems.orgで検索したところ、2018年3月19日に2.2.1が提供されています。

脆弱性の内容とかは調べてみましたが、見つけることができませんでした。。。。

loofah


対応

今回は、勉強用のリポジトリですし、特に何も考えずbundle updateを実行しました。

実際に稼働中のシステムの場合は、十分な検証が必要になると思います。

$ bundle update

Fetching gem metadata from https://rubygems.org/.........
Fetching gem metadata from https://rubygems.org/.
Resolving dependencies...

省略

Fetching loofah 2.2.1 (was 2.2.0)
Installing loofah 2.2.1 (was 2.2.0)

省略

loofah 2.2.1がインストールされたので、GitHubにpushしたところ、該当リポジトリに表示されていたセキュリティ警告メッセージも消えていました。


終わりに

常に最新のセキュリティ情報を把握するのは難しいので、こういった通知機能があるとすごい便利ですね。

あと、パブリックリポジトリはデフォルトでセキュリティ警告の機能が有効になっているようですが、プライベートリポジトリの場合は、設定が必要です。

[Settings] > [Options] > [Data Services]から有効にできるようです。

Options.png