1 уязвимость в jekyll обнаружена в Gemfile.lock 16 сентября 2019 г.

Question

Я получаю это сообщение в моей ветке страниц github: «1 уязвимость jekyll обнаружена в Gemfile.lock 16 сентября 2019 года. Обновите jekyll до версии 3.6.3 или новее. Например: gem« jekyll »,«> = 3.6.3 «Раньше было слишком много проблем, одна с nokogiri, которую я исправил, обновив до последней версии гема, затем commit и pu sh. Я уже обновил Jekyll до версии 4.0, а затем зафиксировал и подтолкнул весь сайт но ошибка не исчезла. Любые предложения? Должен ли я pu sh какой-либо файл в частности? Спасибо

Answer 1

Ваш Gemfile заблокирован на jekyll-3.2.x.

Независимо от того, сколько раз вы запускаете bundle update, ваш файл блокировки не будет использовать Jekyll 3.3 и выше.
Чтобы разрешить обновление до v3.3.0 и выше, но не v4.0.0, список драгоценных камней должен быть следующим:

gem "jekyll", "~> 3.2"

---

Понять следующее:

• gem "jekyll", "~> 3.2.1" совпадает с gem "jekyll", ">= 3.2.1", "< 3.3.0"
• gem "jekyll", "~> 3.2" - это то же самое, что и gem "jekyll", ">= 3.2.0", "< 4.0.0"

---

---

Выше сказанное, правильный ход - это то, что сказал Дэвид Жакель в своем ответе . Позвольте мне кратко изложить, что он имел в виду:

• Обновите ваш Gemfile, чтобы перечислить только github-pages gem - в этот камень также включены необходимые плагины.
• Commit обновлены Gemfile и Gemfile.lock.
• Pu sh ветвь к удаленному хранилищу.

Answer 2

Ваш Gemfile не обновлен должным образом, он все еще упоминает gem "jekyll", "~> 3.2.1", на который также ссылается ваш Gemfile.lock .

Тем не менее, если вы опубликуете sh на страницах github, единственный драгоценный камень, на который вам нужно сослаться, это github-pages.

Ваш контент Gemfile:

source 'https://rubygems.org'
gem 'github-pages'

Затем вы можете сделать bundle update и pu sh Ваш код для GitHub, все предупреждения безопасности будут удалены.