前に書いたRustのコードをGitHubにおいていたら、脆弱性情報が通知されていたので、それに対応した。
別のところで同じ対応をするときに困らないように、行った作業をまとめておこうと思う。
対応したリポジトリは以下。

GitHub - aimdevel/part-mount: tool to mount a partition of device file.

 

Security通知の確認

放置していたリポジトリを久しぶりに見に行くと、securityタブに1と表示されていた。

内容を見ると以下のように書かれている。

どうやら問題のあるバージョンのrustixが依存に存在するので、バージョンを上げろという事のようだ。
そこで使用できる機能として、Dependabot security updateというものがあり、自動で依存をアップデートしてくれるらしい。
しかし、今回はその機能はエラーになっていたので手動でパッケージを更新した。

一応Dependabot security updateのリンクを貼っておく。
docs.github.com

作業手順

パッケージをアップデートする

ソースコードをクローンしてきて以下のコマンドを実行するだけで更新できる。

$ cargo update -p rustix --precise 0.38.19

ただし、--preciseを指定しないと少し古いバージョンがインストールされてしまうので注意が必要そうだ。

GitHubにプッシュする。

プッシュ後にGitHubを確認する。

アラートが消えていることを確認できる。

まとめ

GitHubのDependabot alertに対応した。
パッケージ管理を行っている言語はパッケージの脆弱性を
ある程度はGitHubに任せておくことが出来そうに見える。

また、今回は使用できなかったが、Dependabot security updateを使用すると、
botがバージョンを上げてくれるらしいので、特別バージョンの固定が必要ないソフトに関しては、
この機能を使用すると楽ができると思う。