Уязвимости обнаружены в драгоценных камнях «activejob» и «activestorage».Метод обновления не работает

Question

У меня есть ошибка, говорящая, что у меня есть уязвимость, и мне нужно обновить activejob и activestorage до >= 5.2.1.1 в моем приложении rails

Так в моем Gemfile у меня есть

gem 'activejob', '<= 5.2.1.1'
gem 'activestorage', '<= 5.2.1.1'

И я запустил

bundle update activejob
bundle update activestorage

Я использовал <=, потому что у меня есть некоторые зависимости, которые зависят от более старых версий activejob и activestorage.Это не работает с версией 5.2.1.1.И я не могу обновить эти драгоценные камни, потому что это может привести к поломке моего приложения в это время.

Когда я запускаю bundle audit --update, он по-прежнему говорит, что у меня есть те же уязвимости, и что я должен обновить.

После запуска bundle install это то, что у меня есть в Gemfile.lock

GEM
  specs:
    activejob (5.2.0)
      activesupport (= 5.2.0)
      globalid (>= 0.3.6)
    activestorage (5.2.0)
      actionpack (= 5.2.0)
      activerecord (= 5.2.0)
      marcel (~> 0.3.1)

DEPENDENCIES
  activejob (<= 5.2.1.1)
  activestorage (<= 5.2.1.1)

Я не могу удалить свой Gemfile.lock и запустить bundle install.Я также не могу запустить bundle update, потому что у меня есть драгоценные камни, которые я не хочу обновлять.Это может сломать приложение.Есть предложения?

Answer 1

ActiveJob и ActiveSupport зависят от вашей версии rails.

Если ваши rails (или любой другой драгоценный камень, который накладывает ограничения на AJ и AS в этом отношении) версия (возможно, 5.0) заблокирована и ограничиваетверсий ActiveJob и ActiveStorage, тогда он переопределит ваши требования к версии, установленные в вашем gemfile для этих двух драгоценных камней.

Я бы рискнул предположить, что вам нужно обновить rails до 5.1 и обновить пакет, но трудносказать не видя свой полный gemfile / gemfile.lock