【Rails】GitHubからセキュリティアラートが届いたときの対応【Gemfile】

はじめに

GitHubでソース管理を行っていると、ときどきGitHubからセキュリティアラートのメールが届くことと思います。

該当のリポジトリを見てみると以下のようにセキュリティアラートが並んでいて少しびっくりしてしまいます。

セキュリティアラートを放置していると悪意のある第三者からセキュリティホールをついた攻撃を受ける可能性があります。

それを防ぐためにもセキュリティアラートは早めに対処しましょう。

Gemのアップデート

準備

Gemのアップデートを行う前に、Gem自体のアップデートとBundlerのアップデートを行います。

BundlerとはGemのバージョン管理を行うためのGemです。Ruby on Railsには標準で導入されています。

# Gem自体のアップデート
$ gem update --system

# Bundlerのアップデート
$ gem update bundler

アップデートできたら以下のコマンドでバージョンが確認できます。

# Gem自体のバージョン確認
$ gem -v

# Bundlerのバージョン確認
$ gem list bundler

Gemをすべてアップデート

すべてのGemを一気にアップデートするには以下のコマンドを実行します。

$ bundle update

Gemを個別にアップデート

個別のGemをひとつずつアップデートするには以下のコマンドを実行します。

$ bundle update <Gemの名称>

すべてアップデート vs. 個別にアップデート

それぞれのアップデート方法を記載しましたが、実際のところどちらの方法でアップデートしたほうがいいのでしょうか?

問題が発生したときの切り分けのために個別にアップデートしたほうがいいという意見もあれば、セキュリティホールを放置せずにさっさとすべてのGemをアップデートしたほうがいいという意見もあります。

個人的な所管ですが、私は以下のように臨機応変に対応すればいいのではないかと思っています。

  • すべてアップデートする場合
    • 個人開発の小規模なアプリで影響が少ないもの
  • 個別にアップデートする場合
    • 個人または複数人開発の中〜大規模なアプリで影響が大きいもの

もちろん個人開発の小規模アプリでも個別にアップデートしてもいいと思いますが、複数人開発の中〜大規模アプリの場合は絶対に個別アップデートするべきだと思います。

Gemがアップデートされない原因

bundle updateを実行したのにGemがアップデートされない原因については以下の記事で解説しています。

関連記事

【Rails】RSpecを使った自動テスト《システムスペック編》
# はじめに Railsでアプリケーションを開発する際、品質を担保するためにテストは欠かせません。その中でも、RSpecは多くの開発者に愛用されているテストフレームワークです。 今回は、RSpecを使ったRailsアプリケーションのテスト方 [...]
2024年7月11日 17:07
【Rails】RSpecを使った自動テスト《リクエストスペック編》
# はじめに Railsでアプリケーションを開発する際、品質を担保するためにテストは欠かせません。その中でも、RSpecは多くの開発者に愛用されているテストフレームワークです。 今回は、RSpecを使ったRailsアプリケーションのテスト方 [...]
2024年7月11日 16:06
【Rails】RSpecを使った自動テスト《コントローラースペック編》
# はじめに Railsでアプリケーションを開発する際、品質を担保するためにテストは欠かせません。その中でも、RSpecは多くの開発者に愛用されているテストフレームワークです。 今回は、RSpecを使ったRailsアプリケーションのテスト方 [...]
2024年7月11日 15:39
【Rails】RSpecを使った自動テスト《モデルスペック編》
# はじめに Railsでアプリケーションを開発する際、品質を担保するためにテストは欠かせません。その中でも、RSpecは多くの開発者に愛用されているテストフレームワークです。 今回は、RSpecを使ったRailsアプリケーションのテスト方 [...]
2024年7月11日 11:50
【Rails】RSpecを使った自動テスト《基本編》
# はじめに Railsでアプリケーションを開発する際、品質を担保するためにテストは欠かせません。その中でも、RSpecは多くの開発者に愛用されているテストフレームワークです。 今回は、RSpecを使ったRailsアプリケーションのテスト方 [...]
2024年7月10日 17:49
【Rails】デザインパターン「Concern」の基本情報と実装方法
# はじめに Ruby on RailsなどのMVCフレームワークで構築したWebシステムにはアンチパターンというものが存在します。システム開発におけるアンチパターンとは、避けるべき悪い設計や実装方法のことを指します。 MVCフレームワーク [...]
2024年7月10日 13:32
【Rails】デザインパターン「Form Object」の基本情報と実装方法
# はじめに Ruby on RailsなどのMVCフレームワークで構築したWebシステムにはアンチパターンというものが存在します。システム開発におけるアンチパターンとは、避けるべき悪い設計や実装方法のことを指します。 MVCフレームワーク [...]
2024年7月6日 22:50
【Rails】デザインパターン「Service Object」の基本情報と実装方法
# はじめに Ruby on RailsなどのMVCフレームワークで構築したWebシステムにはアンチパターンというものが存在します。システム開発におけるアンチパターンとは、避けるべき悪い設計や実装方法のことを指します。 MVCフレームワーク [...]
2024年7月6日 19:59