Github 在 Gemfile.lock 中发现依赖漏洞
Github found dependency vulnerability in Gemfile.lock
我收到消息说 GitHub 在我的 Gemfile.lock 中发现了已知的依赖漏洞,这是丝瓜 (2.0.3) 和 Nokogiri (1.7.0.1),但这些 gems 是我做的依赖在我的 Gemfile 中没有特别要求(其他 gems 确实依赖于它们),那么,我能做什么?
您可以进入 gemfile.lock 并查看哪些库需要这些 gem 依赖项。然后你可以继续更新替换或删除这些库,直到你不再有漏洞。
在您的 Gemfile.lock 中,您可以看到哪些依赖项引入了这些库,以及它们的版本限制是什么。
rails-html-sanitizer (1.0.3)
loofah (~> 2.0)
对于 Rails,rails-html-sanitizer 需要 loofah,并且版本必须刚好大于 2.0。如果某个版本被锁定,Gemfile.lock 将显示为 = 2.0。
由于未锁定,您可以使用 bundle update loofah 安装不存在安全漏洞的较新版本。或者 bundle update 如果你想更新所有 gems...
如果要锁定一个版本,您必须检查声明依赖项的 gem 是否有更新其锁定依赖项的更新版本(例如 rails-html-sanitizier 的新版本更新 loofah).由于安全问题,这些更新通常会很快发生。然后,您将更新 rails-html-sanitizier 以获得 loofah.
的新版本
我收到消息说 GitHub 在我的 Gemfile.lock 中发现了已知的依赖漏洞,这是丝瓜 (2.0.3) 和 Nokogiri (1.7.0.1),但这些 gems 是我做的依赖在我的 Gemfile 中没有特别要求(其他 gems 确实依赖于它们),那么,我能做什么?
您可以进入 gemfile.lock 并查看哪些库需要这些 gem 依赖项。然后你可以继续更新替换或删除这些库,直到你不再有漏洞。
在您的 Gemfile.lock 中,您可以看到哪些依赖项引入了这些库,以及它们的版本限制是什么。
rails-html-sanitizer (1.0.3)
loofah (~> 2.0)
对于 Rails,rails-html-sanitizer 需要 loofah,并且版本必须刚好大于 2.0。如果某个版本被锁定,Gemfile.lock 将显示为 = 2.0。
由于未锁定,您可以使用 bundle update loofah 安装不存在安全漏洞的较新版本。或者 bundle update 如果你想更新所有 gems...
如果要锁定一个版本,您必须检查声明依赖项的 gem 是否有更新其锁定依赖项的更新版本(例如 rails-html-sanitizier 的新版本更新 loofah).由于安全问题,这些更新通常会很快发生。然后,您将更新 rails-html-sanitizier 以获得 loofah.