【Rails】GitHubからセキュリティアラートが届いたときの対応【Gemfile】

2020年6月8日 18:07

はじめに

GitHubでソース管理を行っていると、ときどきGitHubからセキュリティアラートのメールが届くことと思います。

該当のリポジトリを見てみると以下のようにセキュリティアラートが並んでいて少しびっくりしてしまいます。

セキュリティアラートを放置していると悪意のある第三者からセキュリティホールをついた攻撃を受ける可能性があります。

それを防ぐためにもセキュリティアラートは早めに対処しましょう。

Gemのアップデート

準備

Gemのアップデートを行う前に、Gem自体のアップデートとBundlerのアップデートを行います。

BundlerとはGemのバージョン管理を行うためのGemです。Ruby on Railsには標準で導入されています。

# Gem自体のアップデート
$ gem update --system

# Bundlerのアップデート
$ gem update bundler

アップデートできたら以下のコマンドでバージョンが確認できます。

# Gem自体のバージョン確認
$ gem -v

# Bundlerのバージョン確認
$ gem list bundler

Gemをすべてアップデート

すべてのGemを一気にアップデートするには以下のコマンドを実行します。

$ gem update

Gemを個別にアップデート

個別のGemをひとつずつアップデートするには以下のコマンドを実行します。

$ gem update <Gemの名称>

すべてアップデート vs. 個別にアップデート

それぞれのアップデート方法を記載しましたが、実際のところどちらの方法でアップデートしたほうがいいのでしょうか?

問題が発生したときの切り分けのために個別にアップデートしたほうがいいという意見もあれば、セキュリティホールを放置せずにさっさとすべてのGemをアップデートしたほうがいいという意見もあります。

個人的な所管ですが、私は以下のように臨機応変に対応すればいいのではないかと思っています。

  • すべてアップデートする場合
    • 個人開発の小規模なアプリで影響が少ないもの
  • 個別にアップデートする場合
    • 個人または複数人開発の中〜大規模なアプリで影響が大きいもの

もちろん個人開発の小規模アプリでも個別にアップデートしてもいいと思いますが、複数人開発の中〜大規模アプリの場合は絶対に個別アップデートするべきだと思います。

Gemがアップデートされない原因

bundle updateを実行したのにGemがアップデートされない原因については以下の記事で解説しています。

関連記事

【Rails】Webサーバー「Unicorn」の基本情報と実装方法
# はじめに Railsアプリを本番環境で稼働させるには、クライアントからのリクエストを捌くWebサーバーを導入する必要があります。WebサーバーはクライアントからのリクエストをRailsアプリに伝達し、Railsアプリで処理されたレスポンスをク [...]
2021年4月15日 12:17
【Rails】デプロイツール「Capistrano」の基本情報と実装方法
# はじめに アプリを本番環境にアップロードして誰でもアクセスできる状態にすることをデプロイと言います。デプロイで行うべきことは多岐にわたります。Railsアプリの場合で言えば、本番環境にアップロードすることはもちろんですが、Gemのインストール [...]
2021年4月14日 9:56
【Rails】Webpackerの基本情報と実装方法
# はじめに Rails 6からWebpackerが正式採用されました。Rails 5ではオプションで追加することができたWebpackerですが、Rails 6からは普通にアプリを作成するだけでWebpackerがインストールされ、必要な設定も [...]
2021年4月12日 14:36
【Rails】アセットパイプライン(Sprockets)の基本情報と実装方法
# はじめに Ruby on Railsにはアセットパイプラインという機能があります。アセットパイプラインは画像、CSS、JavaScriptといったアセットファイルを連結/圧縮することでRailsアプリを高速化します。また、より高級な言語で書か [...]
2021年4月11日 14:08
【Rails】Turbolinksの基本情報と実装方法
# はじめに Ruby on Railsにはページの遷移を高速化するTurbolinksという機能があります。Turbolinksは優れたJavaScriptライブラリですが、Rails 5からは標準で有効化されているため、Turbolinksを [...]
2021年4月10日 17:59