bundler-auditはgemの脆弱性をチェックしている便利なライブラリだ。
とはいえ、なんらかの理由で一時的にこの脆弱性への対応を無視したいこともあるので、一時的に無視する方法をメモしておく。
.bundler-audit.ymlに無視したい脆弱性を記述する
まずapp直下に.bundler-audit.ymlというファイルを作成する。
このファイルに無視したい脆弱性を記述していく。
具体的には以下のように書けばOK。
ignore: - CVE-2023-xxxxx - CVE-2022-xxxxx
このCVEから始まるものはbundler-auditに指摘された脆弱性で、ターミナル上でbundle exec bundler-auditを実行すると、Advisoryの部分に記載されている。
$ bundle exec bundler-audit Name: xxxxx Version: x.x.x Advisory: CVE-2023-xxxx Criticality: Medium URL: https://xxxxxxxx Title: xxxxxx Solution: upgrade to >= x.x.x
ちなみに各項目の意味はこんな感じ
- Name:脆弱性のあるgemの名前
- Version: gemのversion
- Advisory: 脆弱性の番号
- Criticality: 重大さ
- URL: 参考url
- Title: 脆弱性の概要
- Solution: 解決策
↑のURL・Title・Solutionをyamlファイルのコメントとして残しておくと、後から見返したときに対処しやすいと思う。
ignore: # URL: https://xxxxxxxx #Title: xxxxxx #Solution: upgrade to >= x.x.x - CVE-2023-xxxxx
