GitHubリポジトリにセキュリティ脆弱性の警告が表示された
GitHubでリポジトリ開いたらこんな表示が。
We found a potential security vulnerability in one of your dependencies. A dependency defined in Gemfile.lock has known security vulnerabilities and should be updated.
(翻訳)依存関係の1つに潜在的なセキュリティ脆弱性があります。 Gemfile.lockで定義された依存関係には既知のセキュリティ脆弱性があり、更新する必要があります。
クリックしてみてみると、sprocketsのバージョンが古いとのこと。
以下でアップデート。
$ bundle update sprockets
アップデートしたGemfile.lockをコミットしてpushしたら無事アラートは消えました。
まとめ
見たことない警告表示でしたが、2017年から運用開始された機能とのこと。
GitHubがユーザーコードの安全でない依存性を警告、コードの見つけやすさも改善
こういった形で通知してもらえるのはありがたいですね。