Github의 취약성 (vulnerability) 경고 대응

기사의 목적

초학자를 위해, 잘못되어 있는 곳은 지적 받을 수 있으면 다행입니다.
비망록・아웃풋 목적으로 투고하고 있습니다.
초학자로 미력하면서 조금이라도 도움이 된다는 기분도 있습니다.

Github의 알림 (메일에서)

보안 취약점이 있는 actionview를 6.0.3.3으로 하라. 와 알림.
여기서 주의점입니다만, Gemfile.lock라고 쓰고 있습니다만, Gemfile.lock은 Bundler가 자동적으로 작성·갱신하는 파일이므로, 개발자가 독자적으로 편집해서는 안됩니다. (체리 책 P430에서 인용).
변경하면 gemfile입니다.

Github의 경고 정보

여기서도 actionview를 6.0.3.3으로 하라고 한다.

대처

이쪽의 기사를 참고로 해 본다.
htps : // 이 m / sh sh / ms / 0d4 876cf9460778b985
그러나 actionview는 gemfile에 없습니다. 수정할 수 없습니다. .

이쪽의 기사를 참고로 해 본다.
h tps://레아소나 bぇー코로. 코 m / 갓 큐 - 세키 ty - rt /
지시에 따라 아래와 같이 update도 아래와 같이 version은 그대로입니다,라고 말해진다. 6.0.3.3으로 변경할 수 없습니다. .

$ bundle update actionview Bundler attempted to update actionview but its version stayed the same Bundle updated!
https://reasonable-code.com/github-security-alert/

이하의 teratail의 회답을 참고로 해 본다.
htps : // 놀라운 l. 코 m / 쿠에 s 치온 s / 249997
htps : // 놀라운 l. 코m/쿠에 s치온 s/240417
actionview를 변경하려면 rails 자체의 gem을 변경할 필요가 있다고 쓰고 있다.

여기가 해결 팁이되었습니다! !
actionview에 종속성이 있는 Rails 버전을 올립니다.

gem 'rails', '~> 6.0.3', '>= 6.0.3.2'

에서

gem 'rails', '~> 6.0.3', '>= 6.0.3.3'

로 변경, bundle update.

$ bundle update
Fetching gem metadata from https://rubygems.org/............
Fetching gem metadata from https://rubygems.org/.
Resolving dependencies...........
Using actionview 6.0.3.3 (was 6.0.3.2)

6.0.3.3으로 변경된 것 같습니다. .
gemfile.lock을 확인해 보면.

actionview (= 6.0.3.3)

안전하게 변경할 수 있습니다! !
github의 경고 정보도 무사히 사라졌습니다.