Ruby / Rails安全警报

时间:2013-01-18 20:33:33

标签: ruby-on-rails ruby security rubygems

Ruby开发人员如何更新ruby和rubygem安全警报和更新?我今天发现了这个:

https://support.cloud.engineyard.com/entries/22915701-january-14-2013-security-vulnerabilities-httparty-extlib-crack-nori-update-these-gems-immediately

并想知道开发人员通常如何跟上这些类型的警报。提前致谢。

7 个答案:

答案 0 :(得分:12)

对于Rails,只需在Rails安全google组中注册电子邮件更新:

https://groups.google.com/forum/?fromgroups#!forum/rubyonrails-security

答案 1 :(得分:4)

Ruby Security Announcements列表专门针对Ruby和Rubygems中的安全问题。

答案 2 :(得分:3)

另请查看bundler-audit gem以自动完成此过程。它会检查您的宝石是否存在已知漏洞,并建议对更新过程进行一些改进。

答案 3 :(得分:3)

我实际上是wrote about this a few weeks back。这些是我建议的事情:

  1. 关注RubyRails安全邮件列表。
  2. 使用CVE Reports尽快获取安全警报的详细信息。 CVE代表"常见漏洞和曝光"它是一种行业标准报告机制。
  3. 尽可能保持您的依赖项是最新的。运行bundle outdated以获取此信息。将测试套件保持在> 85%将使依赖性升级变得更加容易。
  4. 为您的团队创建一个流程,以便您及时了解压缩安全问题的最新信息。我在博客文章中详细说明了如何做到这一点。
  5. 使用bundle-auditAppCanaryHakiriGemnasium等工具自动检测gem安全问题。这些是插入CI环境的简单工具。

答案 4 :(得分:0)

我认为这两个来源应该尽快为您提供这些信息。您还可以在rubygems.org注册一个帐户,并将Rails添加到您的RSS源。

答案 5 :(得分:0)

此外,Ruby 5 Podcast是每周两次的资源,每周只需要10分钟的时间。

答案 6 :(得分:0)

此外,如果您发现很难找到时间查找更新或执行实际更新:使用迷你习惯,例如每周一更新软件,正如我在the week with a Rails security strategy

中所述
相关问题
最新问题