Ruby 开发人员如何不断更新 ruby 和 rubygem 安全警报和更新?我今天发现了这个:
并想知道开发人员通常如何跟上这些类型的警报。提前致谢。
问问题
1446 次
7 回答
12
对于 Rails,只需在 Rails 安全 google 组中注册电子邮件更新:
https://groups.google.com/forum/?fromgroups#!forum/rubyonrails-security
于 2013-01-18T20:39:54.750 回答
4
Ruby 安全公告列表专门针对 Ruby 和 Rubygems 中的安全问题。
于 2014-08-23T16:31:25.143 回答
3
还可以查看bundler-audit gem来自动化这个过程。它将检查您的 gem 是否存在已知漏洞,并建议对一般更新过程进行一些改进。
于 2015-08-07T16:02:13.960 回答
3
实际上,我几周前就写过这个。这些是我推荐的东西:
- 关注Ruby和Rails安全邮件列表。
- 使用CVE 报告尽快获取安全警报的详细信息。CVE 代表“Common Vulnerabilities and Exposures”,它是一种行业标准的报告机制。
- 尽可能使您的依赖项保持最新。运行
bundle outdated以获取此信息。将您的测试套件保持在 > 85% 将使依赖项升级变得更加容易。 - 为您的团队创建一个流程,以便您可以及时了解最新的安全问题。我在博客文章中详细说明了如何做到这一点。
- 使用 、 、 或 之类的工具
bundle-audit来AppCanary自动Hakiri检测Gemnasiumgem 安全问题。这些是插入 CI 环境的简单工具。
于 2015-12-01T14:41:55.203 回答
0
我认为这两个来源应该会尽快为您提供该信息。您还可以在 rubygems.org 上注册一个帐户并将 Rails 添加到您的 RSS 提要中。
于 2013-01-18T20:38:56.380 回答
0
此外,Ruby 5 Podcast是每周两次的资源,每周只占用您 10 分钟的时间。
于 2013-01-18T22:43:33.853 回答
0
此外,如果您发现很难抽出时间查找更新或执行实际更新:使用微习惯,例如每周一更新软件,正如我在本周使用 Rails 安全策略所描述的那样
于 2015-12-14T14:08:36.687 回答