对于必需的 gem 的 unsafe/outdated gem 依赖项,可以做些什么?
What can be done about an unsafe/outdated gem dependency of a required gem?
我将打包程序审计(检查已知易受攻击的 gems)作为预提交并包含在 CI 中。它在 nokogiri gem 的先前版本中提出了一个已知漏洞,并建议我升级。
但这就是问题所在:易受攻击的 gem 是 Rails 和其他一些我无法删除的 gem 的传递依赖项。其中一些使用悲观的版本说明符,明确排除了我需要升级到的 nokogiri 版本。
遇到这种情况怎么办?有什么建议吗?
如果当前 Rails 4.x gem 具有此依赖项,请针对 Rails.
提交错误
如果 Rails 的当前 4.x 版本依赖于 gem 的不安全版本,我会感到非常惊讶。
我将打包程序审计(检查已知易受攻击的 gems)作为预提交并包含在 CI 中。它在 nokogiri gem 的先前版本中提出了一个已知漏洞,并建议我升级。
但这就是问题所在:易受攻击的 gem 是 Rails 和其他一些我无法删除的 gem 的传递依赖项。其中一些使用悲观的版本说明符,明确排除了我需要升级到的 nokogiri 版本。
遇到这种情况怎么办?有什么建议吗?
如果当前 Rails 4.x gem 具有此依赖项,请针对 Rails.
提交错误如果 Rails 的当前 4.x 版本依赖于 gem 的不安全版本,我会感到非常惊讶。