我在预先提交和CI中包含了bundler-audit(检查已知的易受攻击的gem)。它在先前版本的nokogiri gem中提出了一个已知漏洞,建议我升级。
但这就是问题:易受攻击的宝石是Rails的传递依赖性之一,还有一些我无法消除的宝石。他们中的一些使用悲观版本说明符,明确排除了我需要升级的nokogiri版本。
在这种情况下,人们做了什么?有什么建议吗?
答案 0 :(得分:1)
如果当前的Rails 4.x gem具有此依赖关系,请提交针对Rails的错误。
如果当前4.x版本的Rails依赖于一个不安全的gem版本,我会感到非常惊讶。