How to fix security vulnerabilities
2018年10月、GitHub がセキュリティ脆弱性アラートがJavaと.NETに対応しました。その影響で当ブログの著者に「your dependencies may have a security vulnerability」というメールが届きました。
GitHub に保存しているアプリのソースコードがセキュリティに脆弱なライブラリやモジュールに依存しているから修正するべきという内容です。
実際に修正してアラートがなくなったのでその方法をまとめました。
環境
- Windows 10
- Visual Studio Community 2017
- Eclipse MARS.2
脆弱性を確認した結果
GitHub から1件の脆弱性につき1通のメールが届きます。メールを抜粋した内容は次の通りです。
Visual Studio で作ったアプリ
Microsoft.Data.OData < 5.8.4 (oderate severity)
Eclipse で作ったアプリ
com.fasterxml.jackson.core:jackson-databind < 2.8.11.1 (high severity)
com.fasterxml.jackson.core:jackson-databind >= 2.7.0, < 2.7.9.1 (high severity)
Visual Studio で作ったアプリの修正方法
Visual Studio で作ったアプリは Microsoft.Data.OData に脆弱性がアルトのことですが、これは NuGet でインストールしたパッケージです。修正するには当該のプロジェクトを開き、メニューの
プロジェクト -> NuGet パッケージの管理
を開きます。
脆弱性のある Microsoft.Data.OData の右側にある上向きの矢印をクリックします。
今回は依存するパッケージの変更の確認が表示されました。OK をクリックします。
すべてをコミットしてプッシュして完了です。
Eclipse で作ったアプリの修正方法
Eclipse で作ったアプリは jackson-databind が脆弱性のあるバージョンとのことですが、これは maven でインストールしたライブラリーでした。pom.xmlは次の通りでした。
2.7.2 の部分を最新の 2.8.11 に書き換えました。
コミット・プッシュして完了です。
関連ブログ
[Azure] クエリちゃんの動画投稿数をツイートするサービス をGitHubに公開するまでVisual Studio 2017 を全部ダウンロードしてからインストールする方法
古い Visual Studio をまとめてアンインストールする方法
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。