运维开发网

ruby-on-rails – Github在Gemfile.lock中发现了依赖漏洞

运维开发网 https://www.qedev.com 2020-08-13 11:15 出处:网络 作者:运维开发网整理
我一直在收到消息, GitHub在我的Gemfile.lock中发现已知的依赖漏洞,这是丝瓜(2.0.3)和Nokogiri(1.7.0.1),但这些宝石是我没有特别要求的依赖(其他宝石确实依赖于它们)在我的Gemfile中,那么,我该怎么办? 在Gemfile.lock中,您可以看到哪些依赖项会在这些库中引入,以及它们的版本约束是什么. rails-html-sanitizer (1.0.3)
我一直在收到消息, GitHub在我的Gemfile.lock中发现已知的依赖漏洞,这是丝瓜(2.0.3)和Nokogiri(1.7.0.1),但这些宝石是我没有特别要求的依赖(其他宝石确实依赖于它们)在我的Gemfile中,那么,我该怎么办? 在Gemfile.lock中,您可以看到哪些依赖项会在这些库中引入,以及它们的版本约束是什么.

rails-html-sanitizer (1.0.3)
  loofah (~> 2.0)

使用Rails,rails-html-sanitizer需要loofah,版本必须大于2.0.如果版本被锁定,Gemfile.lock将读取= 2.0.

由于它未锁定,您可以使用bundle update loofah来安装不受安全漏洞影响的更新版本.如果你想更新所有宝石,或者捆绑更新……

如果要锁定的版本,您必须检查声明依赖项的gem是否具有更新其锁定依赖项的更新版本(例如更新丝瓜络的新版本rails-html-sanitizier).出现安全问题,这些更新通常会很快发生.然后,您将更新rails-html-sanitizier以获取新版本的丝瓜络.

扫码领视频副本.gif

0

精彩评论

暂无评论...
验证码 换一张
取 消

关注公众号