GitHubから以下のようなメールが届きました。どうやら該当のリポジトリ(以下の例だと、donchan922/todo)に潜在的なセキュリティ脆弱性があるようです。対処法をメモしておきます。
We found a potential security vulnerability in a repository for which you have been granted security alert access.
donchan922/todo
Known critical severity security vulnerability detected in actionview >= 5.1.0, <= 5.1.6.1 defined in Gemfile.lock. Gemfile.lock update suggested: actionview ~> 5.1.6.2.
リポジトリを確認してみる
メール内のリンクからGitHubリポジトリにアクセスすると、脆弱性の詳細な情報が確認できます。今回の場合、actionviewというgemのバージョンが5.1.0〜5.1.6.1の場合、DoS攻撃の脆弱性があるようです。
対処してみた
今回の場合、actionviewのバージョンを5.1.6.2以上にすればいいようなので、単純にbundle updateしてみました。
actionviewのバージョンが5.1.6.2に上がりましたね。変更内容をGitHubにpushしてやればセキュリティ警告は消えました。
セキュリティ警告の設定方法
「GitHubリポジトリページ」 > 「Settingsタブ」 > 「Data services」 > 「Vulnerability alerts」にチェックを入れるだけでOKです。
パブリックリポジトリではデフォルトで設定されていますが、プライベートリポジトリでは手動で設定する必要があるようです。
まとめ
GitHubからセキュリティ警告のメールが届いたので対処してみました。脆弱性報告を行ってくれるのはありがたいですね。GitHubすごい!