ベスパリブ

ベスパもってないです。バイク買いました。

GitHubはリポジトリのコードをスキャンしてセキュリティの脆弱性を指摘してくれるらしい

公開しているGitHubリポジトリに、ある日突然アラートが表示されました。

f:id:takeg:20190717105830p:plain
アラート

We found a potential security vulnerability in one of your dependencies.

(訳)依存関係のひとつに、セキュリティ脆弱性の可能性があるものを見つけました。

「See security alert」をクリック。

f:id:takeg:20190717110006p:plain

GitHub tracks known security vulnerabilities in some dependency manifest files. Learn more about security alerts.

(訳)GitHubは、依存関係マニフェストファイルの既知のセキュリティ脆弱性を追跡します。詳しくはセキュリティアラートについての記事を読んでね。

(2019/07/17現在)Beta版の機能かな?リンクを飛ぶとパッケージファイルのlodashのバージョンを上げるように書かれていたので、言われるがままにそうしました。私はわかっていないので(一応詳細issue読んだあとの感想)。だから信じるよギットハブのコト。もし間違ってても個人開発だし俺が困るだけでしょ。

f:id:takeg:20190717110219p:plain

「Create automated security fix」ボタンをクリックしても特に何も起きませんでしたが、トイレ行って戻ってくるとプルリクエストが作られていました。

f:id:takeg:20190717110512p:plain

プルリクをマージしました。