使用不受支持的 ruby 二进制解释器和 Rails LTS

Question

我读了一点书，似乎找不到这个问题的好答案。我想知道是否有人可以评论将 Rails LTS (https://railslts.com) 与不受支持（即未打补丁）的 Ruby 版本解释器（1.8.7 或 1.9. 3).我已经就这个问题询问了 Makandra，但是我想知道一般 Rails 社区中是否有人知道与此类实施相关的任何安全风险（Rails 2.3 LTS 和 Ruby 1.8 .7 或 1.9.3)。如果他们回复，我会向 Makandra 报告我在这个问题上的发现。

请注意，Makandra 的网站声明 "In order to shield our customers from disclosed exploits, we have been maintaining private forks of older Rails versions for quite some time already." 结合 Rails LTS 概述的要求（即仅使用 Ruby 1.8.7 进行测试），我在假设下操作Rails LTS 安全地缓解了过时的底层 ruby 解释器固有的漏洞。话虽这么说，我想就此问题向 rails 社区提问，看看是否有任何我应该关注的（从安全角度来看）关于使用 Ruby 1.9 实施 Rails LTS .3/1.8.7。我已经明白过时和不受支持的宝石是一个潜在的问题。

感谢您的反馈。

谢谢，

段

Answer 1

我收到 Rails LTS 团队关于此问题的回复。这是回复：

Since the attack surface for Ruby is much smaller than that for Rails, Ruby vulnerabilities tend to differ in frequency and severity from vulnerabilities for Rails.

In the one recent case where a Ruby vulnerability affected a typical Rails applications, we have provided inofficial patches for legacy Ruby versions (https://github.com/makandra/ruby). However, our expertise lies in Ruby, not in C. Thus we cannot guarantee future patches for legacy Ruby versions.

话虽这么说，但我随后意识到有许多 1.9.3 的 Ruby 解释器在继续修补和支持，例如 JRuby。我安装了 JRuby，它似乎工作正常。