2018/11/07分のコミットです。
CHANGELOGにのったコミットは以下の通りです。
Add CVE note to security guide and gemspecs
rails guideのSecuring Rails Applications
、及び、各gemspecの修正です。
Securing Rails Applications
guideにDependency Management and CVEs
の項を追加し、CVEの対応によるgemのバージョン変更のパッチは受け付けない旨説明を記載しています。また、各gemspecにも同様の説明を記載しています。
例えば、LoofahでCVEに対応した新しいバージョンのリリースが行われると、そのバージョンを指定するよう変更するPRがLoofahを使用しているrails-html-sanitizerに大量に来る(e.g. Update Loofah for CVE-2018-16468)、という現象が発生してしまい、それらの対応は受け付けていない(gemを使用しているアプリ側でbundle update
すれば良いだけなので)為、上記説明を追加しています。
因みにrails-html-sanitizerの場合、この記事を記載している時点で、バージョン変更のPRが13個来ていました。
Amend CVE note and security guide section wordings
rails guideのSecuring Rails Applications
、及び、各gemspecの修正です。
先で追加したCVEに関する記載について、言い回し、及び、記載箇所をadd_dependency
の前に移動しています。
Merge pull request #34375 from y-yagi/add_connect_src_to_default_csp_initializer
railties/lib/rails/generators/rails/app/templates/config/initializers/content_security_policy.rb.tt
の修正です。
rails new
で生成するcontent_security_policy.rb
に、webpack-dev-serverを使用している場合、connect_src
の指定が必要である旨説明とそのexampleを追加しています。
Add JSON support to rails properties route (/rails/info/properties
).
railties/lib/rails/info.rb
の修正です。
rails properties routes(/rails/info/properties
)にJSON formatのサポートを追加しています。/rails/info/properties.json
にアクセスすると、rails propertiesがJSON formatで取得出来るようになっています。
Always add records to parent of nested transaction
activerecord/lib/active_record/connection_adapters/abstract/transaction.rb
の修正です。
transactionをnestし、nestした先のtransactionでコミットを行った場合に、コミットしたrecordのcallbackが実行されないケースがあるバグああったのを修正しています。