【Rails】GitHubからセキュリティアラートが届いたときの対応【Gemfile】

2020年6月8日 18:07

はじめに

GitHubでソース管理を行っていると、ときどきGitHubからセキュリティアラートのメールが届くことと思います。

該当のリポジトリを見てみると以下のようにセキュリティアラートが並んでいて少しびっくりしてしまいます。

セキュリティアラートを放置していると悪意のある第三者からセキュリティホールをついた攻撃を受ける可能性があります。

それを防ぐためにもセキュリティアラートは早めに対処しましょう。

Gemのアップデート

準備

Gemのアップデートを行う前に、Gem自体のアップデートとBundlerのアップデートを行います。

BundlerとはGemのバージョン管理を行うためのGemです。Ruby on Railsには標準で導入されています。

# Gem自体のアップデート
$ gem update --system

# Bundlerのアップデート
$ gem update bundler

アップデートできたら以下のコマンドでバージョンが確認できます。

# Gem自体のバージョン確認
$ gem -v

# Bundlerのバージョン確認
$ gem list bundler

Gemをすべてアップデート

すべてのGemを一気にアップデートするには以下のコマンドを実行します。

$ gem update

Gemを個別にアップデート

個別のGemをひとつずつアップデートするには以下のコマンドを実行します。

$ gem update <Gemの名称>

すべてアップデート vs. 個別にアップデート

それぞれのアップデート方法を記載しましたが、実際のところどちらの方法でアップデートしたほうがいいのでしょうか?

問題が発生したときの切り分けのために個別にアップデートしたほうがいいという意見もあれば、セキュリティホールを放置せずにさっさとすべてのGemをアップデートしたほうがいいという意見もあります。

個人的な所管ですが、私は以下のように臨機応変に対応すればいいのではないかと思っています。

  • すべてアップデートする場合
    • 個人開発の小規模なアプリで影響が少ないもの
  • 個別にアップデートする場合
    • 個人または複数人開発の中〜大規模なアプリで影響が大きいもの

もちろん個人開発の小規模アプリでも個別にアップデートしてもいいと思いますが、複数人開発の中〜大規模アプリの場合は絶対に個別アップデートするべきだと思います。

Gemがアップデートされない原因

bundle updateを実行したのにGemがアップデートされない原因については以下の記事で解説しています。

関連記事

【Rails】Railsアプリのデバッグ《マルチデバイス篇》
# はじめに 近年のWebアプリはレスポンシブ対応が当たり前になっています。最低でもPCとスマートフォンに対応したデザイン、ときにはその中間のタブレットに対応したデザインなんかも作成する必要があります。 Webアプリの開発はPCを使って行う [...]
2021年5月23日 13:02
【Rails】Railsアプリのデバッグ《Better Errors篇》
# はじめに Railsアプリの開発中になんらかのエラーが発生すると、デフォルトでは以下のような画面が表示されます(画像をクリックすると拡大します)。 <a class="gallery" data-group="gallery" href [...]
2021年5月22日 19:42
【Rails】Railsアプリのデバッグ《byebug篇》
# はじめに Ruby on Railsに限りませんが、アプリの開発中にはエラーは付き物です。なにかしらのエラーが発生したときに、エラーの原因を特定しエラー箇所を修正することをデバッグと言います。Railsではデバッグの手助けとなる機能があらかじ [...]
2021年5月22日 15:30
【Rails】レンダリング(renderメソッド)でアンカー指定を行う
# はじめに 通常、Railsでアンカー付きのリクエストを発生させるには`redirect_to`を使います。 ```rb redirect_to root_path(anchor: 'target') ``` では、`rende [...]
2021年5月20日 10:47
【Rails】Bundler 2.2.x以降は開発者が適切なプラットフォームを追加する必要がある
# 事象 昔作ったRailsアプリを久しぶりに修正しデプロイしようとしたところ、以下のエラーが出力されました。 ```bash # 実行コマンド Running $HOME/.rbenv/bin/rbenv exec bundle ch [...]
2021年5月18日 16:18