レタスのかわをぜんぶむく

ぜんぶむきます

githubで脆弱性アラートが出てたので対応した

githubリポジトリが依存しているライブラリなどをスキャンして
脆弱性があるバージョンを使っているとアラートを出してくれる。(知らなかった)

なにげなく前回の記事で作ったリポジトリを眺めていたときにアラートを発見した。

f:id:uskey:20181204003459p:plain

なるほどなにか脆弱性があるっぽい。

f:id:uskey:20181204004049p:plain

どうやら内部で利用している `requests` というライブラリに脆弱性があるとのこと。

f:id:uskey:20181204004304p:plain

2.19.1以前だとhttpsからhttpにリダイレクトされた際に問題がある模様。

そこまで分かればとりあえずPipfile.lockを更新後動作確認して対応完了。
調べたところどうやらこの仕組みは2017年11月から動作しているもので
現在はJS, Ruby, Python, Java, .NETをサポートしているらしい。


そういうのはメールで通知くれ頼む〜と思って、通知設定を確認したら以下のようになっていた。

f:id:uskey:20181204004842p:plain

もしかすると2017年11月以前に登録したユーザーはデフォルトだと通知が飛ばないようになってるかもしれない。
ので、全部受け取るように変更した。

今回のケースでは特に影響の無いタイプの脆弱性だったため、「ほーん」という感じだったが
CVE追っかけたりするのはかなり大変なのでとても助かる。