githubはリポジトリが依存しているライブラリなどをスキャンして
脆弱性があるバージョンを使っているとアラートを出してくれる。(知らなかった)

なにげなく前々回の記事で作ったリポジトリを眺めていたときにアラートを発見した。

なるほどなにか脆弱性があるっぽい。

どうやら内部で利用している `requests` というライブラリに脆弱性があるとのこと。

2.19.1以前だとhttpsからhttpにリダイレクトされた際に問題がある模様。

そこまで分かればとりあえずPipfile.lockを更新後動作確認して対応完了。
調べたところどうやらこの仕組みは2017年11月から動作しているもので
現在はJS, Ruby, Python, Java, .NETをサポートしているらしい。

そういうのはメールで通知くれ頼む〜と思って、通知設定を確認したら以下のようになっていた。

もしかすると2017年11月以前に登録したユーザーはデフォルトだと通知が飛ばないようになってるかもしれない。
ので、全部受け取るように変更した。

今回のケースでは特に影響の無いタイプの脆弱性だったため、「ほーん」という感じだったが
CVE追っかけたりするのはかなり大変なのでとても助かる。