Reasonable Code

ほどよいコードを書きたい

Git/GitHub

GitHubからセキュリティ警告のメールが届いたので対処してみた

投稿日:

GitHubから以下のようなメールが届きました。どうやら該当のリポジトリ(以下の例だと、donchan922/todo)に潜在的なセキュリティ脆弱性があるようです。対処法をメモしておきます。

We found a potential security vulnerability in a repository for which you have been granted security alert access.

donchan922/todo

Known critical severity security vulnerability detected in actionview >= 5.1.0, <= 5.1.6.1 defined in Gemfile.lock. Gemfile.lock update suggested: actionview ~> 5.1.6.2.

リポジトリを確認してみる


メール内のリンクからGitHubリポジトリにアクセスすると、脆弱性の詳細な情報が確認できます。今回の場合、actionviewというgemのバージョンが5.1.05.1.6.1の場合、DoS攻撃の脆弱性があるようです。

対処してみた

今回の場合、actionviewのバージョンを5.1.6.2以上にすればいいようなので、単純にbundle updateしてみました。

actionviewのバージョンが5.1.6.2に上がりましたね。変更内容をGitHubにpushしてやればセキュリティ警告は消えました。

セキュリティ警告の設定方法


「GitHubリポジトリページ」 > 「Settingsタブ」 > 「Data services」 > 「Vulnerability alerts」にチェックを入れるだけでOKです。

パブリックリポジトリではデフォルトで設定されていますが、プライベートリポジトリでは手動で設定する必要があるようです。

まとめ

GitHubからセキュリティ警告のメールが届いたので対処してみました。脆弱性報告を行ってくれるのはありがたいですね。GitHubすごい!

参考リンク

【RC】記事下記事内広告


-Git/GitHub

Copyright© Reasonable Code , 2019 All Rights Reserved Powered by STINGER. App icon by icons8.