【Rails】bundler-auditで見つかったgemの脆弱性を一時的に無視する方法

Engineering
この記事を書いた人

PharmaXというオンライン薬局のスタートアップで薬剤師・エンジニアとして働いています。Rails・React・TypeScriptなどを書きます。英語が得意でTOEIC900点・通訳案内士資格取得。主に薬剤師の働き方やプログラミング、英語学習について書きます。当サイトではアフィリエイトプログラムを利用して商品を紹介しています。
>> 詳しいプロフィール

Tomoyuki Katoをフォローする

 

bundler-auditはgemの脆弱性をチェックしている便利なライブラリだ。

とはいえ、なんらかの理由で一時的にこの脆弱性への対応を無視したいこともあるので、一時的に無視する方法をメモしておく。

 

.bundler-audit.ymlに無視したい脆弱性を記述する

 

まずapp直下に.bundler-audit.ymlというファイルを作成する。

このファイルに無視したい脆弱性を記述していく。

 

具体的には以下のように書けばOK。

ignore:
 - CVE-2023-xxxxx
 - CVE-2022-xxxxx

 

このCVEから始まるものはbundler-auditに指摘された脆弱性で、ターミナル上でbundle exec bundler-auditを実行すると、Advisoryの部分に記載されている。

 

$ bundle exec bundler-audit
Name: xxxxx
Version: x.x.x
Advisory: CVE-2023-xxxx
Criticality: Medium
URL: https://xxxxxxxx
Title: xxxxxx
Solution: upgrade to >= x.x.x

 

ちなみに各項目の意味はこんな感じ

  • Name:脆弱性のあるgemの名前
  • Version: gemのversion
  • Advisory: 脆弱性の番号
  • Criticality: 重大さ
  • URL: 参考url
  • Title: 脆弱性の概要
  • Solution: 解決策

 

↑のURL・Title・Solutionをyamlファイルのコメントとして残しておくと、後から見返したときに対処しやすいと思う。

 

ignore:
 # URL: https://xxxxxxxx 
 #Title: xxxxxx 
 #Solution: upgrade to >= x.x.x
 - CVE-2023-xxxxx