Domanda Avvisi di sicurezza Ruby / Rails


In che modo gli sviluppatori di Ruby si aggiornano sugli avvisi e sugli aggiornamenti di sicurezza di ruby ​​e rubygem ?. Ho saputo di questo oggi:

https://support.cloud.engineyard.com/entries/22915701-january-14-2013-security-vulnerabilities-httparty-extlib-crack-nori-update-these-gems-immediately

e mi chiedo come gli sviluppatori di solito tengano il passo con questi tipi di avvisi. Grazie in anticipo.


10
2018-01-18 20:33


origine


risposte:


Per Rails, registrati per gli aggiornamenti via email nel gruppo google sicurezza Rails:

https://groups.google.com/forum/?fromgroups#!forum/rubyonrails-security


12
2018-01-18 20:39



Il Annunci di sicurezza Ruby elenco è specificamente per problemi di sicurezza in Ruby e Rubygems.


4
2017-08-23 16:31



Controlla anche il gemma di bundler-audit per automatizzare questo processo. Controllerà le tue gemme per le vulnerabilità note e raccomanderà anche alcuni miglioramenti riguardanti il ​​processo di aggiornamento in generale.


3
2017-08-07 16:02



io attualmente ha scritto su questo alcune settimane fa. Queste sono le cose che consiglierei:

  1. Segui il Rubino e Rails mailing list di sicurezza.
  2. Uso Rapporti CVE per ottenere i dettagli degli avvisi di sicurezza il prima possibile. CVE è l'acronimo di "Common Vulnerabilities and Exposures" ed è un meccanismo di reporting standard del settore.
  3. Mantieni le tue dipendenze il più aggiornate possibile. Correre bundle outdated per ottenere questa informazione Mantenere la vostra suite di test a> 85% renderà molto più semplice l'aggiornamento delle dipendenze.
  4. Crea un processo per il tuo team in modo da essere sempre aggiornato sullo schiacciamento dei problemi di sicurezza. Elaboro nel post del blog su come farlo.
  5. Utilizzare strumenti come bundle-audit, AppCanary, Hakiri, o Gemnasium per rilevare automaticamente i problemi di sicurezza gem. Questi sono strumenti facili da inserire in un ambiente CI.

3
2017-12-01 14:41



Penso che queste due fonti dovrebbero darti queste informazioni non appena saranno disponibili. Puoi anche iscriverti a un account su rubygems.org e aggiungere Rails al tuo feed RSS.


0
2018-01-18 20:38



Anche il Ruby 5 Podcast è una risorsa bisettimanale e impiega solo 10 minuti del tuo tempo a settimana.


0
2018-01-18 22:43



Inoltre, se trovi difficile trovare il tempo per cercare gli aggiornamenti o eseguire l'aggiornamento effettivo: utilizza le mini abitudini per es. aggiornare il software ogni lunedì, come descritto in la settimana con una strategia di sicurezza di Rails


0
2017-12-14 14:08