背筋を伸ばしてスタートアップするブログ

株式会社ペライチで開発責任者をやっています。

GitHubリポジトリにセキュリティ脆弱性の警告が表示された

GitHubでリポジトリ開いたらこんな表示が。

f:id:katsuki1207:20180824184652p:plain

We found a potential security vulnerability in one of your dependencies. A dependency defined in Gemfile.lock has known security vulnerabilities and should be updated.

(翻訳)依存関係の1つに潜在的なセキュリティ脆弱性があります。 Gemfile.lockで定義された依存関係には既知のセキュリティ脆弱性があり、更新する必要があります。

クリックしてみてみると、sprocketsのバージョンが古いとのこと。

f:id:katsuki1207:20180824185002p:plain

以下でアップデート。

$ bundle update sprockets

アップデートしたGemfile.lockをコミットしてpushしたら無事アラートは消えました。

まとめ

見たことない警告表示でしたが、2017年から運用開始された機能とのこと。

GitHubがユーザーコードの安全でない依存性を警告、コードの見つけやすさも改善

こういった形で通知してもらえるのはありがたいですね。