【Rails】GitHubのセキュリティアラートで発見された脆弱性を解消する方法

はじめに

GitHubにはセキュリティアラートという機能があります。セキュリティアラートはリポジトリに含まれるライブラリやパッケージの脆弱性を定期的にチェックし、脆弱性のあるライブラリやパッケージが発見されたらアラートで知らせてくれるという機能です。

本記事では、GitHubのセキュリティアラートで発見された脆弱性を解消する方法について説明します。

Gemのアップデート手順

アップデートの準備

Gemのアップデートを行う前に、Gem自体のアップデートとBundlerのアップデートを行います。

# Gem自体のアップデート
$ gem update --system

# Bundlerのアップデート
$ gem update bundler

アップデートできたらバージョン確認を行います。

# Gem自体のバージョン確認
$ gem -v

# Bundlerのバージョン確認
$ gem list bundler

Gemのアップデート

まず、セキュリティアラートで発見された脆弱性のあるGemを確認し、脆弱性が解消されたバージョンのchangelogやリリースノートを確認します。例えば、Ruby on RailsのchangelogはGitHub、リリースノートはRailsガイドで確認できます。

更新内容に問題ないことが確認できたらGemのアップデートを行います。必要に応じてGemfileのバージョン指定を修正し、以下のコマンドを実行します。

$ bundle update rails

Gemのアップデートが行われない場合は以下の記事を参照してください。

npmパッケージのアップデート手順

Rails 6から標準導入されたWebpackerを使っていると、npmパッケージとしてWebpackerがインストールされています。Webpackerはたくさんのパッケージに依存しているため、それらの依存パッケージで脆弱性が発見されることがあります。

パッケージのアップデート

まず、セキュリティアラートで発見された脆弱性のあるパッケージを確認し、脆弱性が解消されたバージョンのchangelogを確認します。例えば、WebpackerのchangelogはGitHubで確認できます。

更新内容に問題ないことが確認できたらパッケージのアップデートを行います。

# バージョン指定してアップデート
$ yarn upgrade @rails/webpacker@5.4.3

# 最新バージョンにアップデート
$ yarn upgrade @rails/webpacker@latest

なお、上記のコマンドでは間接的な依存パッケージのアップデートが行われない場合があります。その場合、パッケージをいったん削除して追加し直す必要があります。

パッケージがpackage.jsonのdependenciesセクションにある場合とdevDependenciesセクションにある場合で-Dオプションの有無が変わってくるので注意してください。

package.json

{
  "name": "sample-app",
  "private": true,
  "dependencies": {
    "@rails/webpacker": "5.4.3"
  },
  "devDependencies": {
    "webpack-dev-server": "^4.7.3"
  }
}

このような場合、以下のコマンドを実行します。

# dependenciesセクションのパッケージの場合
$ yarn remove @rails/webpacker && yarn add @rails/webpacker

# devDependenciesセクションのパッケージの場合
$ yarn remove webpack-dev-server && yarn add -D webpack-dev-server

間接的な依存パッケージのアップデート

セキュリティアラートで発見された脆弱性のあるパッケージがpackage.jsonに含まれていない場合、そのパッケージは間接的な依存パッケージとなります。この場合、まずパッケージの依存関係を調べる必要があります。

$ yarn why serialize-javascript

...
=> Found "serialize-javascript@4.0.0"
info Has been hoisted to "serialize-javascript"
info Reasons this module exists
   - Hoisted from "@rails#webpacker#compression-webpack-plugin#serialize-javascript"
   - Hoisted from "@rails#webpacker#webpack#terser-webpack-plugin#serialize-javascript"
...

上記のコマンドを実行すると、「serialize-javascript」というパッケージは「compression-webpack-plugin」と「terser-webpack-plugin」というパッケージに依存していることが確認できます。また、それらのパッケージはさらに「@rails/webpacker」に依存していることも確認できます。

$ yarn why @rails/webpacker

...
=> Found "@rails/webpacker@5.4.3"
info Has been hoisted to "@rails/webpacker"
info This module exists because it's specified in "dependencies".
...

「@rails/webpacker」の依存関係を調べると、package.jsonのdependenciesセクションに記述されていることがわかります。このため、「@rails/webpacker」のバージョンをアップデートすることで、連鎖的に間接的な依存パッケージのアップデートが行われることになります。

脆弱性の解消されたバージョンに対応していない場合

セキュリティアラートで発見された脆弱性のあるパッケージに依存しているパッケージが、脆弱性の解消されたバージョンに対応していない場合があります。例えば、「nth-check」というパッケージに脆弱性が発見され、バージョン2.0.1で脆弱性が解消されたが、「nth-check」に依存している「@rails/webpacker」が「nth-check」のバージョン2.0.1に対応していないという場合です。このような場合、強制的に「nth-check」のバージョン2.0.1を使うように指定することが可能です。

package.jsonに以下を追記します。

package.json

{
  "name": "sample-app",
  "private": true,
  "dependencies": {
    "@rails/webpacker": "^5.4.3"
  },
  "devDependencies": {
    "webpack-dev-server": "^4.7.3"
  },
  // 以下を追記
  "resolutions": {
    "nth-check": "^2.0.1"
  }
}

resolutionsセクションにパッケージとバージョンを追記したら、以下のコマンドを実行します。

$ yarn

コマンドを実行すると「nth-check」のバージョン2.0.1がインストールされ、強制的に使用するように変更されます。また、yarn.lockもそのように書き換わります。

resolutionsセクションに記述したパッケージのバージョンは、本来そのパッケージに正式に対応していないパッケージにまで使用を強制するため、正しく動かなくなる可能性があります。使用する場合は慎重に検討したほうが良さそうです。

まとめ

セキュリティアラートで脆弱性が発見されたからと言って、即座に対応しなければいけないとも限りません。まずは脆弱性の中身を見極め、直接的に影響がありそうな場合のみ対応すればいいのではないかと思います。

本記事を参考にして、セキュリティアラートで発見された脆弱性を解消していただければと思います。

関連記事

【Rails】Railsアップグレードまとめ
# はじめに Ruby on Railsに限らず、何らかのフレームワークを使ってWebシステムを構築している場合、フレームワークのアップグレード作業は避けて通れません。 一般的にフレームワークはバージョン毎にEOL (End of Life [...]
2022年10月1日 14:32
【Rails】ユーザー登録時に行うメールアドレス認証機能の実装方法
# はじめに ユーザー登録/解除やログイン/ログアウトといった認証機能の導入に「devise」というGemを使っている人は多いと思います。「devise」では以下のように記述するだけで、ユーザー登録時に確認メールを送付しメールアドレス認証を行う機 [...]
2022年9月24日 14:24
【Rails】モデルに列挙型(enum)を定義し、使いこなす方法
# はじめに Railsはモデルでカラム名と同名の列挙型(enum)を定義することで、カラムと列挙型の変数を紐付けることができます。カラムと列挙型の変数を紐付けると、カラムに対して様々な便利な使い方ができるようになります。 本記事では、モデ [...]
2022年9月3日 10:29
【Rails】RailsでCORSとPreflight requestの設定を行う方法
# はじめに RailsアプリをAPIサーバーとして構築するには、CORS (Cross-Origin Resource Sharing)と Preflight requestの設定を行う必要があります。APIサーバーは外部からの要求に対して処理 [...]
2022年8月27日 10:44
【Ruby】Bundlerを使ってRubyGemsを作成/公開する方法
# はじめに Bundlerを使ってRubyGemsを作成および公開する方法について説明します。Bundlerを使わずにRubyGemsを作成/公開する方法については以下の記事を参照してください。 <iframe class="hatena [...]
2022年7月12日 23:18
【Ruby】RubyGemsを作成/公開する方法
# はじめに RubyGemsを作成および公開する方法について説明します。Bundlerを使ってRubyGemsを作成する方法については以下の記事を参照してください。 <iframe class="hatenablogcard" style [...]
2022年7月11日 21:52
【Rails】M1チップ搭載MacでRuby on Railsの開発環境構築
# はじめに M1チップ搭載MacにRuby on Railsの開発環境を構築する手順を記載します。 - MacBook Air (M1, 2020) - macOS Monterey 12.3.1 # Homebrew ## [...]
2022年5月5日 11:56
【Rails】Rakeタスクの基本情報と作成・実行方法
# はじめに Railsには標準でRakeというGemが同梱されています。RakeはRubyで実装されたMake(UNIX系のOSで使用できるコマンド)のようなビルド作業を自動化するツールです。Ruby Make、略してRakeというわけですね。 [...]
2022年3月7日 22:12