jobs:scan_ruby:runs-on:ubuntu-latesttimeout-minutes:10steps:-name:Checkout codeuses:actions/checkout@v4-name:Set up Rubyuses:ruby/setup-ruby@v1with:ruby-version:.ruby-versionbundler-cache:true-name:Scan for common Rails security vulnerabilities using static analysisrun:bin/brakeman --no-pager
RubyのArrayやHashのリテラルをdeep freezeするshareable_constant_valueマジックコメント
概要
Rubyでは、以下のように
shareable_constant_value: literal
というマジックコメントを記入することで、 以下の例のように、定数に代入したArrayやHashのリテラルを深く(deeply)freezeすることが出来ます。少し詳しい話
shareable_constant_value
マジックコメントはRuby 3.0で導入されました。注意点
このマジックコメントのliteralモードでfreezeされるのは定数が対象であるため、 以下のように、代入先が変数である場合にはfreezeされません。
また、このマジックコメントのliteralモードを指定したファイル内では、以下のように、 「freezeされていないオブジェクト」や「freezeされていないものを含むオブジェクト」を定数に代入しようとするとエラーが発生します。
裏を返せば、以下のように、freezeすればエラーが回避できます。 また、freezeする定数とfreezeしない定数でファイルを分けるという自然なアプローチでもエラーを回避できます。
参考文献
Shinjuku.rb #96 「今までで一番学びになった瞬間」発表LT会!!
[お知らせ]こちらのまとめに追加して欲しい内容があるなど、ご要望等ございましたら、下の所からのコメントやX(旧Twitter)などでお気軽にお伝えください。
Connpass: https://shinjukurb.connpass.com/event/336025/
それぞれのLTなどについての簡単な記録です。
開始前
新宿のRAIZAP本社にて
はじめに
スポンサーLT
izawa 「What brought you to NYC?」
chaki8923「失敗とそこから学んだこと」
Koji NAKAMURA 「Kaigi on Rails 2024とGlue」
スライド
好きなエクササイズはプランク
The Tale of Plack: https://www.youtube.com/watch?v=5XvH_y2wyG0
Yuta 「駅員になって気づいたこと」
ryosk7 「5年越しにGitを理解した話」
git log --since="yesterday"
-m
を2つ付けて簡潔と詳細の2つメッセージを付けられる。otsuka-rizap 「私のエンジニア人生を変えた出会い」
既存のRailsアプリでのDependabotへの対応
Rails 7.2から新規アプリケーションにおいてDependabotがデフォルトで有効になりました。 具体的には、
rails new
で生成される新規アプリにおいて、Dependabotの設定ファイルである.github/dependabot.yml
が生成されるようになりました。Dependabotとは
Dependabotとは、GitHubのサービスであり、リポジトリで使用しているソフトウェアを最新の状態に保つことをサポートしてくれるサービスです。 具体的なDependabotの機能としては、以下の3つがあります。
Dependabotの詳細な理解にはクイックスタート ガイドなどをご利用ください。
既存のRailsアプリでのDependabotへの対応方法
脆弱性の通知機能(Dependabot alerts)は、GitHubのWebページから設定を変更するだけで利用できます。
脆弱性に関するpull requestの自動生成機能(Dependabot security updates)も、GitHubのWebページから設定を変更するだけで利用できますが、詳細な設定が必要な場合はdependabot.ymlを通して行います。
脆弱性対応以外も含めて最新の状態にするためのpull requestを自動生成する機能(Dependabot version updates)は、dependabot.ymlを通した設定が必要です。
(参考)デフォルトのdependabot.ymlの内容
このリンク先で閲覧できる
rails new
で生成される新規アプリのdependabot.ymlの設定内容は、既存アプリでも参考になるかもしれません。 このdependabot.ymlには、Rails 7.2の時点では、railsアプリで利用しているgemとGitHub Actions(GitHubのCI)で利用しているアクションを最新に保つための設定が記述されています。BootstrapとTurbo Driveを組み合わせたときの問題と対処法
問題
HotwireのTurbo Driveでは高速化を図るために、ページ遷移時に全体をリロードせずに<body>タグ内のコンテンツを置き換える動作が基本となっています。 そのためか、Turbo Driveを有効にしていると、JavaScriptの動作が必要なBootstrapのコンポーネントが適切に動作しない場合があります。
例えば、タブのコンポーネントにおいて、ページ遷移の直後はカーソルキーでのタブの切り替えが動作しません。
対策
HotwireのStimulusを利用して、必要なBootstrapオブジェクトをページ遷移時に作成します。
対策の具体例
タブ・コンポーネントの場合、まず以下のようにタブの各要素を対象にして
getOrCreateInstance()
をconnect内で呼び出すStimulusコントローラapp/javascript/controllers/foo_controller.js
を作成します。次に以下のように、このStimulusコントローラ
foo
を指定したhtmlタグでタブコンポーネントを囲みます。以上で、Turbo Driveによるページ遷移時に、このタブ・コンポーネントを含むHTMLがロードされると
connect()
が呼び出され、 タブ用のBootstrapオブジェクトが存在していなかった場合には作成されるようになり、 その結果タブ・コンポーネントが正しく動作するようになります。Windows Terminalの日本語表示は複数のフォントを指定することで改善できます
複数のフォントが設定出来たのですね。単一のフォントしか使えないのに比べると、意図した表示の仕方に大分しやすくなりますね。良い情報をありがとうございます。
ちなみに、Microsoftは現在Cascadia Nextという日本語に対応した等幅フォントを開発しているそうですので、このフォントの採用などでWindows Terminalの日本語表示がデフォルト設定のままでも良い感じになると良いですね。
Brakemanの--safe-methodsオプションはXSSチェック専用
役立つ情報ありがとうございます。
リンク先のGitHubのディスカッションを覗いてみたのですが、「poor naming」という表現があり、
--safe-methods
というオプション名が紛らわしいということは認識されているみたいですね。それから、"use the ignore file instead"というポリシーだそうですので、XSSチェック以外のタイプの警告は、1つずつ無視の設定をして欲しいというのがBrakemanの開発側の考えのようですね。
既存のRailsアプリへのBrakemanの導入
Rails 7.2から新規アプリケーションにおいてBrakemanがデフォルトで有効になりました。 このTopicでは、7.1以前で作成した既存RailsアプリにBrakemanを後から導入して、Brakemanに関して7.2の新規アプリ相当の状態にセットアップする方法をご紹介します。
Brakemanのインストール
まず以下のように、Gemfileの
group :development, :test
のところにbrakemanを追加します。次に
bundle install
を実行します。以上でBrakemanのインストールが出来ました。
さらに、必須ではありませんが、
bin/brakeman
でBrakemanを実行できるように、以下のコマンドを実行します。ローカル環境でのBrakemanの実行
以下のコマンドでBrakemanを実行でき、デフォルトのチェックを行えます。
全てのチェックを実行する場合には、以下のオプション付けて実行します。
警告の無視に関する設定と管理を行う場合は、以下のオプション付けて実行します。
以下のように、これら2つのオプションを同時に指定して実行することも出来ます。
なお、Brakemanの詳細については公式ドキュメントをご覧ください。 また、brakemanコマンドのオプションについては日本語訳もあります。
GitHubワークフロー(CI)でのBrakemanの実行
.github/workflows/ci.ymlに相当するファイルがなければ作成します。 この.ymlファイルを編集して、以下のように
jobs
の下にscan_ruby
ジョブを追加します。ymlファイルの設定に関する注意点
timeout-minutes:
の設定は、実行時間に対して十分余裕を持たせて下さい。ruby-version: .ruby-version
」という設定は、プロジェクトルートにある.ruby-versionという名前のファイルで指定されているrubyのバージョンという意味になります。この設定についての詳細はこちらのTopicをご覧下さい。項目20におけるfetchを利用したコード例の代替案
(hash[key] ||= []) << value
、私は普通に読めて大丈夫なコードですが、一般的にはどうなのでしょうね。ちなみに私の場合、こちらのコードよりも
fetch
のコードの方が読むのに時間がかかるかもしれません。というのも、Rubyの公式ドキュメントを読んで、fetch
の仕様を確認して、なぜfetch
を使ったのかしばし考えて、というように時間をかけてしまいそうだからです。ChatGPT searchのTips
ドメイン(Webサイト)を指定しての回答生成
「~ドメインから」とプロンプト(質問文)に入れることで、特定のドメイン(Webサイト)の情報を基にした回答を生成してくれます。情報ソースを指定したいときなどに便利そうです。
備考
このTopicとCommentは、11/11に全面的に改定しました。
IrfanViewがv4.70になってからwingetソースでのインストールが上手く行かない
問題
2024年10月26日現在、以下のコマンドのように、wingetがソースとなっている方のパッケージIDを指定してwingetからインストールを試みても、IrfanViewが起動できないので、インストールが上手く行っていないと思われる。
対応策
最新版になるのが多少遅れても良いのであれば、Microsoft Storeからインストールする。なおMicrosoft Storeからであれば、Microsoft StoreのGUIからインストールしても、Microsoft Storeの方のパッケージIDを指定してwingetコマンドからインストールしても、どちらでも大丈夫のようである。