前に書いたRustのコードをGitHubにおいていたら、脆弱性情報が通知されていたので、それに対応した。
別のところで同じ対応をするときに困らないように、行った作業をまとめておこうと思う。
対応したリポジトリは以下。
GitHub - aimdevel/part-mount: tool to mount a partition of device file.
Security通知の確認
放置していたリポジトリを久しぶりに見に行くと、securityタブに1と表示されていた。
内容を見ると以下のように書かれている。
どうやら問題のあるバージョンのrustixが依存に存在するので、バージョンを上げろという事のようだ。
そこで使用できる機能として、Dependabot security updateというものがあり、自動で依存をアップデートしてくれるらしい。
しかし、今回はその機能はエラーになっていたので手動でパッケージを更新した。
一応Dependabot security updateのリンクを貼っておく。
docs.github.com
作業手順
パッケージをアップデートする
ソースコードをクローンしてきて以下のコマンドを実行するだけで更新できる。
$ cargo update -p rustix --precise 0.38.19
ただし、--precise
を指定しないと少し古いバージョンがインストールされてしまうので注意が必要そうだ。
GitHubにプッシュする。
プッシュ後にGitHubを確認する。
アラートが消えていることを確認できる。
まとめ
GitHubのDependabot alertに対応した。
パッケージ管理を行っている言語はパッケージの脆弱性を
ある程度はGitHubに任せておくことが出来そうに見える。
また、今回は使用できなかったが、Dependabot security updateを使用すると、
botがバージョンを上げてくれるらしいので、特別バージョンの固定が必要ないソフトに関しては、
この機能を使用すると楽ができると思う。