AUTOVICE
  • HOME
  • BLOG
  • 【Rails】GitHubからセキュリティアラートが届いたときの対応【Gemfile】

【Rails】GitHubからセキュリティアラートが届いたときの対応【Gemfile】

はじめに

GitHubでソース管理を行っていると、ときどきGitHubからセキュリティアラートのメールが届くことと思います。

該当のリポジトリを見てみると以下のようにセキュリティアラートが並んでいて少しびっくりしてしまいます。

セキュリティアラートを放置していると悪意のある第三者からセキュリティホールをついた攻撃を受ける可能性があります。

それを防ぐためにもセキュリティアラートは早めに対処しましょう。

Gemのアップデート

準備

Gemのアップデートを行う前に、Gem自体のアップデートとBundlerのアップデートを行います。

BundlerとはGemのバージョン管理を行うためのGemです。Ruby on Railsには標準で導入されています。

# Gem自体のアップデート
$ gem update --system

# Bundlerのアップデート
$ gem update bundler

アップデートできたら以下のコマンドでバージョンが確認できます。

# Gem自体のバージョン確認
$ gem -v

# Bundlerのバージョン確認
$ gem list bundler

Gemをすべてアップデート

すべてのGemを一気にアップデートするには以下のコマンドを実行します。

$ bundle update

Gemを個別にアップデート

個別のGemをひとつずつアップデートするには以下のコマンドを実行します。

$ bundle update <Gemの名称>

すべてアップデート vs. 個別にアップデート

それぞれのアップデート方法を記載しましたが、実際のところどちらの方法でアップデートしたほうがいいのでしょうか?

問題が発生したときの切り分けのために個別にアップデートしたほうがいいという意見もあれば、セキュリティホールを放置せずにさっさとすべてのGemをアップデートしたほうがいいという意見もあります。

個人的な所管ですが、私は以下のように臨機応変に対応すればいいのではないかと思っています。

  • すべてアップデートする場合
    • 個人開発の小規模なアプリで影響が少ないもの
  • 個別にアップデートする場合
    • 個人または複数人開発の中〜大規模なアプリで影響が大きいもの

もちろん個人開発の小規模アプリでも個別にアップデートしてもいいと思いますが、複数人開発の中〜大規模アプリの場合は絶対に個別アップデートするべきだと思います。

Gemがアップデートされない原因

bundle updateを実行したのにGemがアップデートされない原因については以下の記事で解説しています。

関連記事

【Rails】Paranoiaを使用した論理削除(ソフトデリート)
# はじめに Paranoiaは、Railsアプリケーションで論理削除(ソフトデリート)を実現するためのGemです。 論理削除は、データベースのレコードを物理的に削除するのではなく、削除フラグを設定することで「削除済み」とみなす方法です。こ [...]
2024年7月20日 21:33
【Rails】activerecord-multi-tenantを使用したマルチテナントアプリケーションの作成
# はじめに マルチテナントアプリケーションでは、複数の顧客(テナント)が同じアプリケーションを利用するため、データの分離が必要です。 activerecord-multi-tenantは、このようなマルチテナント環境をサポートするための便 [...]
2024年7月18日 16:50
【Rails】RubyとRailsにおけるattr_reader, attr_writer, attr_accessorの概念と使用方法
# はじめに RubyとRailsの開発において、`attr_reader`,`attr_writer`,`attr_accessor`は非常に便利なメソッドです。これらは、クラス内でインスタンス変数に対するゲッターおよびセッターメソッドを簡単に [...]
2024年7月17日 18:11
【Rails】RubyとRailsにおけるyieldの概念と使用方法
# はじめに RubyとRailsにおける`yield`は、メソッドやテンプレートの中で動的にコードブロックを実行する能力を提供し、これによってコードの再利用性と拡張性が大幅に向上します。本記事では、RubyとRailsにおける`yield`の概 [...]
2024年7月17日 13:15
【Rails】AASMを使用してオブジェクトの状態遷移を効率的に管理
# はじめに Railsアプリケーションにおいて、オブジェクトの状態管理は重要な課題の一つです。AASM (Acts As State Machine) gemは、複雑な状態遷移を効率的に管理します。本記事では、AASMの基本的な使い方を解説して [...]
2024年7月16日 18:00
【Rails】RSpec + Swagger + rswagでアプリケーションのAPIをテストおよびドキュメント化する方法
# はじめに Railsアプリケーションの開発において、APIのテストとドキュメント化は重要な要素です。 RSpecはテストフレームワークとして広く利用されており、SwaggerはAPIの設計とドキュメント化を支援します。これらを統合するr [...]
2024年7月16日 14:27
【Rails】mailcatcherを使用して開発環境でメール送信をテストする方法
# はじめに mailcatcherは、開発環境でのメール送信をキャプチャするためのツールです。ローカルで送信されたメールをブラウザ上で簡単に確認できるようにします。mailcatcherをRailsアプリケーションで使用する方法について説明しま [...]
2024年7月15日 16:37
【Rails】impressionistを使用してページビューやクリック数を追跡する方法
# はじめに impressionist Gemを使用してRailsアプリケーションでページビューやクリック数を追跡する方法について説明します。 # 実装方法 ## impressionist Gemのインストール まず、impre [...]
2024年7月15日 14:18

坂井 光太郎 / Sakai Kotaro

Ruby on Rails を中心とした Web アプリ開発全般に関する技術情報をまとめています。業務に関するご依頼・ご相談、当サイトに対するご感想やメッセージはコンタクトフォームからお気軽にお問い合わせください。

タグ

最新記事

JWTについて
2024年10月21日 17:16
【React】React イチから学習《発展編》
2024年10月21日 17:02
【React】React イチから学習《基礎編》
2024年10月21日 16:43
強力なUIコンポーネントライブラリ「MUI(Material-UI)」について《トラブルシューティング編》
2024年10月15日 13:41
強力なUIコンポーネントライブラリ「MUI(Material-UI)」について《テーマ・スタイリング編》
2024年10月15日 11:56
強力なUIコンポーネントライブラリ「MUI(Material-UI)」について《コンポーネント編》
2024年10月15日 10:32
強力なUIコンポーネントライブラリ「MUI(Material-UI)」について《概要編》
2024年10月15日 10:10
インフラストラクチャ自動化ツール「Terraform」について《ベストプラクティスとトラブルシューティング編》
2024年10月10日 15:50

人気記事

【CSS+JS】背景画像の視差効果(パララックス)を実装する方法
2021年10月17日 12:08
【CSS+JS】モーダルウィンドウを表示しその中にYouTube動画を動的に埋め込む
2021年5月20日 23:23
【Rails】アプリケーションサーバー「Unicorn」の基本情報と実装方法
2021年4月15日 12:17
【Git】マージにおけるfast-forwardとnon-fast-forwardの違い
2023年2月17日 13:42
MySQL Workbenchでリモートサーバー上のMySQLにSSH接続する方法【接続できない場合の対処法あり】
2019年12月7日 13:34
【Rails】忘れがちなルーティングの書き方を総復習
2021年3月17日 18:30
【Rails】忘れがちなGemfileの書き方を総復習
2021年3月8日 13:30
【Rails】M1チップ搭載MacでRuby on Railsの開発環境構築
2022年5月5日 11:56