【Rails】GitHubからセキュリティアラートが届いたときの対応【Gemfile】

2022年1月16日 10:59

はじめに

GitHubでソース管理を行っていると、ときどきGitHubからセキュリティアラートのメールが届くことと思います。

該当のリポジトリを見てみると以下のようにセキュリティアラートが並んでいて少しびっくりしてしまいます。

セキュリティアラートを放置していると悪意のある第三者からセキュリティホールをついた攻撃を受ける可能性があります。

それを防ぐためにもセキュリティアラートは早めに対処しましょう。

Gemのアップデート

準備

Gemのアップデートを行う前に、Gem自体のアップデートとBundlerのアップデートを行います。

BundlerとはGemのバージョン管理を行うためのGemです。Ruby on Railsには標準で導入されています。

# Gem自体のアップデート
$ gem update --system

# Bundlerのアップデート
$ gem update bundler

アップデートできたら以下のコマンドでバージョンが確認できます。

# Gem自体のバージョン確認
$ gem -v

# Bundlerのバージョン確認
$ gem list bundler

Gemをすべてアップデート

すべてのGemを一気にアップデートするには以下のコマンドを実行します。

$ bundle update

Gemを個別にアップデート

個別のGemをひとつずつアップデートするには以下のコマンドを実行します。

$ bundle update <Gemの名称>

すべてアップデート vs. 個別にアップデート

それぞれのアップデート方法を記載しましたが、実際のところどちらの方法でアップデートしたほうがいいのでしょうか?

問題が発生したときの切り分けのために個別にアップデートしたほうがいいという意見もあれば、セキュリティホールを放置せずにさっさとすべてのGemをアップデートしたほうがいいという意見もあります。

個人的な所管ですが、私は以下のように臨機応変に対応すればいいのではないかと思っています。

  • すべてアップデートする場合
    • 個人開発の小規模なアプリで影響が少ないもの
  • 個別にアップデートする場合
    • 個人または複数人開発の中〜大規模なアプリで影響が大きいもの

もちろん個人開発の小規模アプリでも個別にアップデートしてもいいと思いますが、複数人開発の中〜大規模アプリの場合は絶対に個別アップデートするべきだと思います。

Gemがアップデートされない原因

bundle updateを実行したのにGemがアップデートされない原因については以下の記事で解説しています。

関連記事

【Rails】M1チップ搭載MacでRuby on Railsの開発環境構築
# はじめに M1チップ搭載MacにRuby on Railsの開発環境を構築する手順を記載します。 - MacBook Air (M1, 2020) - macOS Monterey 12.3.1 # Homebrew ## [...]
2022年5月5日 11:56
【Rails】Rakeタスクの基本情報と作成・実行方法
# はじめに Railsには標準でRakeというGemが同梱されています。RakeはRubyで実装されたMake(UNIX系のOSで使用できるコマンド)のようなビルド作業を自動化するツールです。Ruby Make、略してRakeというわけですね。 [...]
2022年3月7日 22:12
【Rails】モデルに外部キーを設定する方法とよく起こるエラー内容について
# はじめに Railsでモデルに外部キーを設定する方法について説明します。 # モデルに外部キーを設定する ## リレーションシップ 今回は1つのブログ記事は複数のコメントを持つ1対多のリレーションシップを例に説明します。現在は` [...]
2022年2月10日 14:18
【Rails】Capybaraのfill_inメソッドを実行すると「既存レコードの内容+指定した内容」がセットされる事象の原因と対処【RSpec】
# はじめに RSpec + Capybaraを使用して、Railsアプリの統合テストを実装しています。とあるモデルの編集画面において、入力フォームの内容を書き換えた上で送信し、レコードが更新されることを確認します。 入力フォームの内容を書 [...]
2022年1月27日 21:22
【Rails】GitHubのセキュリティアラートで発見された脆弱性を解消する方法
# はじめに GitHubにはセキュリティアラートという機能があります。セキュリティアラートはリポジトリに含まれるライブラリやパッケージの脆弱性を定期的にチェックし、脆弱性のあるライブラリやパッケージが発見されたらアラートで知らせてくれるという機 [...]
2022年1月16日 10:36