<div dir="ltr">On 19 September 2013 20:32, Joel Chippindale <span dir="ltr"><<a href="mailto:joel.chippindale@gmail.com" target="_blank">joel.chippindale@gmail.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div dir="ltr">LRUGers<div><br></div><div>If you want to keep up to date with the latest known security vulnerabilities with Ruby and the gems you are using there seem to be many different places to look, for example:</div>



<div><div><br></div><div>- For rails there is the rubyonrails-security mailing list (<a href="https://groups.google.com/forum/#!forum/rubyonrails-security" target="_blank">https://groups.google.com/forum/#!forum/rubyonrails-security</a>) which has rails covered but what about any of the other ruby gems you rely on?</div>




<div><br></div><div>- It is unclear to me whether the ruby-security-ann mailing list is still active (<a href="https://groups.google.com/forum/#!forum/ruby-security-ann" target="_blank">https://groups.google.com/forum/#!forum/ruby-security-ann</a>).</div>




<div><br></div><div>- The National Vulnerability Database (<a href="http://web.nvd.nist.gov/view/vuln/search-results?query=ruby&search_type=all&cves=on" target="_blank">http://web.nvd.nist.gov/view/vuln/search-results?query=ruby&search_type=all&cves=on</a>) appears to be more comprehensive and enables you to search for ruby vulnerabilities but does not appear to give you any nice way to be alerted when a new vulnerability is discovered.</div>




<div><br></div><div>- The ruby-advisory-db on github (<a href="https://github.com/rubysec/ruby-advisory-db/" target="_blank">https://github.com/rubysec/ruby-advisory-db/</a>) looks like a great project (with potential to create a tool which would read your Gemfile/Gemfile.lock and warn you of issues?) but the frequency of updates and number of open issues suggest to me that it is far from comprehensive.</div>




<div><br></div><div>However none of these appear to be comprehensive, even with respect to reported issues, or make it easy to keep track of new vulnerabilities.</div><div><br></div><div>How do you keep up to date with security vulnerabilities that are discovered in Ruby and the gems you use?</div>
</div></div></div></div></blockquote><div><br></div><div>By waiting for the inevitable shit-storm on HN and twitter. :)</div><div><br></div><div>Ben</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div><span class="HOEnZb"><font color="#888888">
<span><font color="#888888">

<div><br></div><div>J.</div></font></span></font></span></div>
</div>
</div><br></div>
<br>_______________________________________________<br>
Chat mailing list<br>
<a href="mailto:Chat@lists.lrug.org">Chat@lists.lrug.org</a><br>
<a href="http://lists.lrug.org/listinfo.cgi/chat-lrug.org" target="_blank">http://lists.lrug.org/listinfo.cgi/chat-lrug.org</a><br>
<br></blockquote></div><br></div></div>