В последнее время я попал в Jekyll для создания сайтов документации и размещения их на страницах Github. Я понимаю, что у Github Pages очень ограниченный список разрешенных плагинов. В ходе тестирования уязвимостей я обнаружил, что файл Gemfile.lock уязвим для инъекции внешнего объекта XML (XXE).
В своем исследовании я прочитал:
Прочитав принятый ответ:
Если вы не пишете rubygem, Gemfile.lock должен быть в вашем хранилище. Он используется в качестве снимка всех ваших драгоценных камней и их зависимостей. Таким образом, упаковщик не должен пересчитывать все зависимости gem при каждом развертывании и т. Д.
но я не контролирую сайт Джекилла. Пожалуйста, поправьте меня, если я понимаю процесс, но Github Pages создает сайт, и если Gemfile.lock предназначен для разработки Gems, и я не могу это контролировать, можно удалить файл и добавить к .gitignore ?