【Rails】GitHubのセキュリティアラートで発見された脆弱性を解消する方法

2022年1月16日 14:01

はじめに

GitHubにはセキュリティアラートという機能があります。セキュリティアラートはリポジトリに含まれるライブラリやパッケージの脆弱性を定期的にチェックし、脆弱性のあるライブラリやパッケージが発見されたらアラートで知らせてくれるという機能です。

本記事では、GitHubのセキュリティアラートで発見された脆弱性を解消する方法について説明します。

Gemのアップデート手順

アップデートの準備

Gemのアップデートを行う前に、Gem自体のアップデートとBundlerのアップデートを行います。

# Gem自体のアップデート
$ gem update --system

# Bundlerのアップデート
$ gem update bundler

アップデートできたらバージョン確認を行います。

# Gem自体のバージョン確認
$ gem -v

# Bundlerのバージョン確認
$ gem list bundler

Gemのアップデート

まず、セキュリティアラートで発見された脆弱性のあるGemを確認し、脆弱性が解消されたバージョンのchangelogやリリースノートを確認します。例えば、Ruby on RailsのchangelogはGitHub、リリースノートはRailsガイドで確認できます。

更新内容に問題ないことが確認できたらGemのアップデートを行います。必要に応じてGemfileのバージョン指定を修正し、以下のコマンドを実行します。

$ bundle update rails

Gemのアップデートが行われない場合は以下の記事を参照してください。

npmパッケージのアップデート手順

Rails 6から標準導入されたWebpackerを使っていると、npmパッケージとしてWebpackerがインストールされています。Webpackerはたくさんのパッケージに依存しているため、それらの依存パッケージで脆弱性が発見されることがあります。

パッケージのアップデート

まず、セキュリティアラートで発見された脆弱性のあるパッケージを確認し、脆弱性が解消されたバージョンのchangelogを確認します。例えば、WebpackerのchangelogはGitHubで確認できます。

更新内容に問題ないことが確認できたらパッケージのアップデートを行います。

# バージョン指定してアップデート
$ yarn upgrade @rails/webpacker@5.4.3

# 最新バージョンにアップデート
$ yarn upgrade @rails/webpacker@latest

なお、上記のコマンドでは間接的な依存パッケージのアップデートが行われない場合があります。その場合、パッケージをいったん削除して追加し直す必要があります。

パッケージがpackage.jsonのdependenciesセクションにある場合とdevDependenciesセクションにある場合で-Dオプションの有無が変わってくるので注意してください。

package.json

{
  "name": "sample-app",
  "private": true,
  "dependencies": {
    "@rails/webpacker": "5.4.3"
  },
  "devDependencies": {
    "webpack-dev-server": "^4.7.3"
  }
}

このような場合、以下のコマンドを実行します。

# dependenciesセクションのパッケージの場合
$ yarn remove @rails/webpacker && yarn add @rails/webpacker

# devDependenciesセクションのパッケージの場合
$ yarn remove webpack-dev-server && yarn add -D webpack-dev-server

間接的な依存パッケージのアップデート

セキュリティアラートで発見された脆弱性のあるパッケージがpackage.jsonに含まれていない場合、そのパッケージは間接的な依存パッケージとなります。この場合、まずパッケージの依存関係を調べる必要があります。

$ yarn why serialize-javascript

...
=> Found "serialize-javascript@4.0.0"
info Has been hoisted to "serialize-javascript"
info Reasons this module exists
   - Hoisted from "@rails#webpacker#compression-webpack-plugin#serialize-javascript"
   - Hoisted from "@rails#webpacker#webpack#terser-webpack-plugin#serialize-javascript"
...

上記のコマンドを実行すると、「serialize-javascript」というパッケージは「compression-webpack-plugin」と「terser-webpack-plugin」というパッケージに依存していることが確認できます。また、それらのパッケージはさらに「@rails/webpacker」に依存していることも確認できます。

$ yarn why @rails/webpacker

...
=> Found "@rails/webpacker@5.4.3"
info Has been hoisted to "@rails/webpacker"
info This module exists because it's specified in "dependencies".
...

「@rails/webpacker」の依存関係を調べると、package.jsonのdependenciesセクションに記述されていることがわかります。このため、「@rails/webpacker」のバージョンをアップデートすることで、連鎖的に間接的な依存パッケージのアップデートが行われることになります。

脆弱性の解消されたバージョンに対応していない場合

セキュリティアラートで発見された脆弱性のあるパッケージに依存しているパッケージが、脆弱性の解消されたバージョンに対応していない場合があります。例えば、「nth-check」というパッケージに脆弱性が発見され、バージョン2.0.1で脆弱性が解消されたが、「nth-check」に依存している「@rails/webpacker」が「nth-check」のバージョン2.0.1に対応していないという場合です。このような場合、強制的に「nth-check」のバージョン2.0.1を使うように指定することが可能です。

package.jsonに以下を追記します。

package.json

{
  "name": "sample-app",
  "private": true,
  "dependencies": {
    "@rails/webpacker": "^5.4.3"
  },
  "devDependencies": {
    "webpack-dev-server": "^4.7.3"
  },
  // 以下を追記
  "resolutions": {
    "nth-check": "^2.0.1"
  }
}

resolutionsセクションにパッケージとバージョンを追記したら、以下のコマンドを実行します。

$ yarn

コマンドを実行すると「nth-check」のバージョン2.0.1がインストールされ、強制的に使用するように変更されます。また、yarn.lockもそのように書き換わります。

resolutionsセクションに記述したパッケージのバージョンは、本来そのパッケージに正式に対応していないパッケージにまで使用を強制するため、正しく動かなくなる可能性があります。使用する場合は慎重に検討したほうが良さそうです。

まとめ

セキュリティアラートで脆弱性が発見されたからと言って、即座に対応しなければいけないとも限りません。まずは脆弱性の中身を見極め、直接的に影響がありそうな場合のみ対応すればいいのではないかと思います。

本記事を参考にして、セキュリティアラートで発見された脆弱性を解消していただければと思います。

関連記事

【Ruby】Bundlerを使ってRubyGemsを作成/公開する方法
# はじめに Bundlerを使ってRubyGemsを作成および公開する方法について説明します。Bundlerを使わずにRubyGemsを作成/公開する方法については以下の記事を参照してください。 <iframe class="hatena [...]
2022年7月12日 23:18
【Ruby】RubyGemsを作成/公開する方法
# はじめに RubyGemsを作成および公開する方法について説明します。Bundlerを使ってRubyGemsを作成する方法については以下の記事を参照してください。 <iframe class="hatenablogcard" style [...]
2022年7月11日 21:52
【Rails】M1チップ搭載MacでRuby on Railsの開発環境構築
# はじめに M1チップ搭載MacにRuby on Railsの開発環境を構築する手順を記載します。 - MacBook Air (M1, 2020) - macOS Monterey 12.3.1 # Homebrew ## [...]
2022年5月5日 11:56
【Rails】Rakeタスクの基本情報と作成・実行方法
# はじめに Railsには標準でRakeというGemが同梱されています。RakeはRubyで実装されたMake(UNIX系のOSで使用できるコマンド)のようなビルド作業を自動化するツールです。Ruby Make、略してRakeというわけですね。 [...]
2022年3月7日 22:12
【Rails】モデルに外部キーを設定する方法とよく起こるエラー内容について
# はじめに Railsでモデルに外部キーを設定する方法について説明します。 # モデルに外部キーを設定する ## リレーションシップ 今回は1つのブログ記事は複数のコメントを持つ1対多のリレーションシップを例に説明します。現在は` [...]
2022年2月10日 14:18
【Rails】Capybaraのfill_inメソッドを実行すると「既存レコードの内容+指定した内容」がセットされる事象の原因と対処【RSpec】
# はじめに RSpec + Capybaraを使用して、Railsアプリの統合テストを実装しています。とあるモデルの編集画面において、入力フォームの内容を書き換えた上で送信し、レコードが更新されることを確認します。 入力フォームの内容を書 [...]
2022年1月27日 21:22
【Rails】devise-two-factorを使った2段階認証の実装方法【初学者】
# はじめに Railsアプリで2段階認証を実装するには、「rotp」というGemを使う方法の他に、「devise-two-factor」というGemを使う方法があります。「devise-two-factor」はその名の通り、IDとパスワードによ [...]
2021年12月12日 17:58
【Rails】rotpを使った2段階認証の実装方法【初学者】
# はじめに 昨今はIDとパスワードによる認証だけでなく、ワンタイムパスワードによる2段階認証を導入するWebアプリが増えてきました。Railsで作成したWebアプリでも、IDとパスワードによる認証に加えて2段階認証を導入するニーズが高まっていま [...]
2021年11月27日 13:02