Lui*_*res 3 rubygems ruby-on-rails github nokogiri
我一直在收到消息,GitHub在我的Gemfile.lock中发现已知的依赖漏洞,这是丝瓜(2.0.3)和Nokogiri(1.7.0.1),但这些宝石是我没有特别要求的依赖(其他宝石确实依赖于它们)在我的Gemfile中,那么,我该怎么办?
在您Gemfile.lock的文档中,您可以看到哪些依赖项会引入这些库,以及它们的版本约束是什么.
rails-html-sanitizer (1.0.3)
loofah (~> 2.0)
使用Rails,loofah是必需的rails-html-sanitizer,版本必须大于2.0.如果版本被锁定,Gemfile.lock则会读取= 2.0.
由于它未锁定,您可以使用bundle update loofah安装不受安全漏洞影响的更新版本.或者bundle update如果你想更新所有宝石......
如果要锁定的版本,您必须检查声明该依赖项的gem是否具有更新其锁定依赖项的更新版本(例如,rails-html-sanitizier该更新的新版本loofah).出现安全问题,这些更新通常会很快发生.然后,您将更新rails-html-sanitizier以获取新版本loofah.
| 归档时间: |
|
| 查看次数: |
1554 次 |
| 最近记录: |