2018年10月27日土曜日

GitHub の your dependencies may have a security vulnerability を解決する方法

How to fix security vulnerabilities

2018年10月、GitHub がセキュリティ脆弱性アラートがJavaと.NETに対応しました。
その影響で当ブログの著者に「your dependencies may have a security vulnerability」というメールが届きました。
GitHub に保存しているアプリのソースコードがセキュリティに脆弱なライブラリやモジュールに依存しているから修正するべきという内容です。
実際に修正してアラートがなくなったのでその方法をまとめました。
blog.fujiu.jp GitHub の your dependencies may have a security vulnerability を解決する方法


環境

  • Windows 10
  • Visual Studio Community 2017
  • Eclipse MARS.2
Visual Studio 2017 の初期バージョンは Git クライアントの不具合があり更新する必要がありました。


脆弱性を確認した結果

GitHub から1件の脆弱性につき1通のメールが届きます。
メールを抜粋した内容は次の通りです。

Visual Studio で作ったアプリ
Microsoft.Data.OData < 5.8.4 (oderate severity)

Eclipse で作ったアプリ
com.fasterxml.jackson.core:jackson-databind < 2.8.11.1 (high severity)
com.fasterxml.jackson.core:jackson-databind >= 2.7.0, < 2.7.9.1 (high severity)


Visual Studio で作ったアプリの修正方法

Visual Studio で作ったアプリは Microsoft.Data.OData に脆弱性がアルトのことですが、これは NuGet でインストールしたパッケージです。
修正するには当該のプロジェクトを開き、メニューの
プロジェクト -> NuGet パッケージの管理
を開きます。

脆弱性のある Microsoft.Data.OData の右側にある上向きの矢印をクリックします。

今回は依存するパッケージの変更の確認が表示されました。OK をクリックします。

すべてをコミットしてプッシュして完了です。


Eclipse で作ったアプリの修正方法

Eclipse で作ったアプリは jackson-databind が脆弱性のあるバージョンとのことですが、これは maven でインストールしたライブラリーでした。
pom.xmlは次の通りでした。

2.7.2 の部分を最新の 2.8.11 に書き換えました。
コミット・プッシュして完了です。


関連ブログ

[Azure] クエリちゃんの動画投稿数をツイートするサービス をGitHubに公開するまで
Visual Studio 2017 を全部ダウンロードしてからインストールする方法
古い Visual Studio をまとめてアンインストールする方法


0 件のコメント:

コメントを投稿