bundler-auditメモ

Gemfile.lockを読み込んで脆弱性が確認されたgemがないかチェックするツール。bundler-audit 0.7.0.1で確認。

以下のGemをインストールする。

group :development do
  gem 'bundler-audit'
end

bundle exec bundle-audit check --updateで実行すると以下のような結果が出力される。

Updating ruby-advisory-db ...
From https://github.com/rubysec/ruby-advisory-db
 * branch            master     -> FETCH_HEAD
Already up to date.
Updated ruby-advisory-db
ruby-advisory-db: 484 advisories
Name: activerecord
Version: 6.1.1
Advisory: CVE-2021-22880
Criticality: Medium
URL: https://groups.google.com/g/rubyonrails-security/c/ZzUqCh9vyhI
Title: Possible DoS Vulnerability in Active Record PostgreSQL adapter
Solution: upgrade to ~> 5.2.4.5, ~> 6.0.3.5, >= 6.1.2.1

Vulnerabilities found!

脆弱性情報は別途gitリポジトリで管理されているため、bundle exec bundle-audit updateを実行するかbundle exec bundle-audit check --updateのようにcheckコマンドに--updateを指定しないと脆弱性情報が更新されない。

報告された脆弱性を無視したい場合は、.bundler-audit.ymlファイルを作成して以下のような内容を記述する。ただし、bundler-audit 0.8.0以降に追加予定の機能なので現時点では使えない。2021年3月にbundler-audit 0.8.0はリリース予定。詳細はChangeLogを参照。

---
ignore:
  - CVE-2021-22880

現状では、bundle exec bundle-audit check --ignore CVE-2021-22880 CVE-2021-22879とするしかない。