【セキュリティ ニュース】「Ruby」のXMLパーサーライブラリにDoS攻撃受けるおそれ(1ページ目 / 全1ページ):Security NEXT
開発言語「Ruby」の一部ライブラリにサービス拒否が生じるおそれがある脆弱性が判明した。アップデートが呼びかけられている。 現地時間5月16日にアドバイザリをリリースし、「XMLドキュメント」の解析を行うライブラリ「REXML gem」の脆弱性「CVE-2024-35176」について明らかにしたもの。 「REXML gem 3.2.6」および以前のバージョンに影響があり、属性値に特定の文字を多く含む場合、解析に長時間を要するおそれがあるという。 GitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「5.3」、重要度を「中(Medium)」とレーティングしている。 同脆弱性は「REXML gem 3.2.7」にて修正されており、開発者はアップデートを強く推奨している。 (Security NEXT - 2024/05/28 ) ツイート
Ruby 3.3でYJITを今すぐ有効にすべき理由 - k0kubun's blog
Ruby 3.3がリリースされた。YJITには非常に多くの改善が含まれたリリースだったが、 NEWS解説記事やリリースパーティーでは 2点しか触れられなかったので、この記事ではRuby 3.3でYJITがどう改善されたかについて解説する。 YJITは既に実用段階 YJITはRuby 3.1で導入されたが、Ruby 3.2の時点でexperimentalのマークが外れ、実用段階となった。 Ruby 3.2では、以下のような企業で性能改善が報告された。 DeNA: 40% 高速化 GMOペバボ: 18% 高速化 STORES: 6.5-7.5% 高速化 Timee: 10% 高速化 メドピア: 2.8% 高速化 BOOK☆WALKER: 20-30% 高速化 Discourse: 15.8-19.6% 高速化 Lobsters: 26% 高速化 CompanyCam: 20-40% 高速化 弊
Ruby 3.0 がセキュリティメンテナンスフェーズになったのでいくつか補足, snap と all-ruby を更新した - HsbtDiary(2023-03-31)
■ Ruby 3.0 がセキュリティメンテナンスフェーズになったのでいくつか補足 Ruby 3.0 がセキュリティメンテナンスフェーズになったことに合わせて、いくつかサプライチェーン周りで考えておく必要がある事項があるので共有しときます。 Ruby 3.0 は OpenSSL 3.0 対応しないことになった Bug #18658: Need openssl 3 support for Ubuntu 22.04 (Ruby 2.7.x and 3.0.x) - Ruby master - Ruby Issue Tracking System に書いたように、Ruby 3.0 には OpenSSL 3.0 に対応した openssl gem はバックポートされないことになりました。つまり、OpenSSL 3.x しか提供されない Ubuntu 22.04 では Ruby 3.0 はビルドできな
WebAssembly版Rubyが正式に登場、YJITが実用段階に。「Ruby 3.2.0」正式リリース
Ruby開発チームは、2022年12月25日にRuby 3.2.0の正式リリースを発表しました。Rubyは毎年12月25日に新バージョンをリリースすることが恒例となっています。 WebブラウザでRubyコードをそのまま実行可能に 新バージョンであるRuby 3.2.0の最大の新機能は、WASIベースのWebAssembly版Rubyが登場したことです。 これによりWASIをサポートしたWebAssemblyの実行環境、例えばWebブラウザやNode.js、DenoなどのサーバサイドJavaScriptランタイム、Cloudflare WorkersやFastly Compute@Edgeなどのクラウドエッジ環境で、WebAssembly版のRubyを実行できるようになりました。 これらの環境でWebAssemblyの上でRubyランタイムを実行すると、Rubyで書かれたコードをそのまま走ら
RubyGemsの運営元が「Ruby Shield」を発表。RubyとRailsへのサプライチェーン攻撃への対策としてShopifyが4年で100万ドル(約1億3000万円)を提供
RubyGemsの運営元が「Ruby Shield」を発表。RubyとRailsへのサプライチェーン攻撃への対策としてShopifyが4年で100万ドル(約1億3000万円)を提供 Ruby言語用のパッケージであるGemのホスティングサービス「RubyGems.org」を運営するRuby Centralは、RubyやRailsに対するサプライチェーン攻撃への対応を行うプロジェクト「Ruby Shield」を開始すると発表しました。 Today we’re excited to announce Ruby Shield This new initiative in partnership with @ShopifyEng will support open-source and enable us to take on new security-focused projects to bet
RubyがWebAssemblyのWASI対応へ前進。ブラウザでもサーバでもエッジでもどこでもWebAssembly版Rubyが動くように
RubyがWebAssemblyのWASI対応へ前進。ブラウザでもサーバでもエッジでもどこでもWebAssembly版Rubyが動くように Ruby言語のリファレンス実装、すなわち事実上の標準となっているRubyインタプリタはC言語で実装されています。そのため、このRubyインタプリタもしくはそのソースコードは一般に「CRuby」(もしくは、まつもとゆきひろ氏による実装という意味でMRI:Matz' Ruby Implementation)と呼ばれています。 CRubyのソースコードをコンパイルすることで、Windows対応Rubyインタプリタのバイナリ形式やLinux対応Rubyインタプリタのバイナリ形式などが生成されるわけです。 今年、2022年1月7日、このCRubyのソースコードに対する要望チケット「Proposal to merge WASI based WebAssembly
Ruby 3.1正式リリース。Shopify開発のJITコンパイラ「YJIT」をメインラインにマージ
Ruby開発チームは、2021年12月25日にRuby 3.1.0の正式リリースを発表しました。 Rubyは毎年12月25日に新バージョンをリリースすることが恒例となっています。今回も一昨年のRuby 3.0に続いて新バージョンが登場しました。 Ruby 3.1でもっとも注目すべき新機能は、JITコンパイラの「YJIT」がメインラインにマージされたことでしょう。 大規模なRailsアプリでの性能向上を目指したYJIT RubyのJITコンパイラとしてはRuby 2.6から登場した「MJIT」がありますが、今回Ruby 3.1でマージされたYJITはMJITとは別のものです。 YJITは、ECサイト構築サービスで知られるShopifyが開発を進めてきたもので、Shopify自身が構築している大規模なRailsアプリケーションにおいて、より高い性能向上を目指して開発されてきました。 同社のブロ
Ruby 3.1.0 がリリースされた - HsbtDiary(2021-12-25)
■ Ruby 3.1.0 がリリースされた 写真はクリスマス御用達のエーグルドゥースのクリスマスケーキです。今年もクリスマスといえば Ruby の新しい安定バージョンのリリースということで、ケーキやら小樽なるとの半身揚げを食べながらリリース作業に参戦していた。 昼過ぎくらいからぼちぼちとリリース作業が開始されたので、macOS や linux でビルドチェックをしながら眺めていたら、タグを打った後にバージョン更新漏れが見つかってやり直したら、またパッケージミスが見つかったりと1年に1回しかやらないことはなかなか難しい。 https://github.com/ruby/ruby/graphs/contributors?from=2020-12-25&to=2021-12-25&type=c 今年のコミット数は 353 commits でフィニッシュでした。rubygems もあわせると1日1
Railsの高速化に貢献する新たなJITコンパイラを搭載したRuby 3.1プレビュー1が公開
Ruby開発チームは、新たなJITコンパイラであるYJITを実験的に搭載したRuby 3.1プレビュー1を公開しました。 Ruby言語は以前から実行速度の向上を重要な改善項目として挙げており、Ruby 2.6では「MJIT」と呼ばれるJITコンパイラを搭載、昨年リリースされたRuby 3.0では目標としていたRuby 2の3倍の性能を達成しています。 参考:Ruby 3.0正式版リリース。「Ruby 2の3倍速」到達、型の記述、スレッドセーフな並列処理など新機能 一方でMJITはその機構上、Railsの大規模アプリケーションなどでの性能向上に十分な効果が発揮できていないとの評価もありました。 今回Ruby 3.1プレビューでマージされたのは、ECサイト構築サービスで知られるShopifyが開発を進めてきた「YJIT」と呼ばれるJITコンパイラです。 YJITは現在のところ20%から40%程
Pryはもう古い、時代はIRB - k0kubun's blog
僕はRubyで開発をする時は毎回Pryを使うくらいの熱狂的Pryユーザーだったのだが、PryはGemfileに書いてないと binding.pry できなくて不便。任意のgemをdefault gem化するgem default コマンドも作ったのだが、これをやるのすら面倒だと思っていた。 ある日、nobuさんがRubyに binding.irb という機能をいれた。Pryがdefault gemになるのを待つよりPryで僕が使う機能をIRBに全部移植してしまった方が早いのではないかと思い、4年前からPryの機能の移植活動を始め、今日僕がよく使う機能を全て移植し終えた。 その記念に、この記事ではIRBのPry互換の機能を紹介する。昔 今更聞けないpryの使い方と便利プラグイン集 という記事を書いたんだけど、この中で僕が毎日のように使うコマンドは全てIRBに移植したので、それを紹介する本稿を
Ruby 3.0.0 リリース
Posted by naruse on 25 Dec 2020 Ruby 3.0系初のリリースである、Ruby 3.0.0 が公開されました。 これまで、Ruby3に向けてパフォーマンスの改善、並行処理、静的解析という3つの目標を掲げて、活発に開発が行われてきました。特にパフォーマンスの改善については、Ruby 3x3 として「Ruby3はRuby2の3倍速くする」ことを目指してきました。 Ruby 3.0では開発の指標の一つとしてきたOptcarrotベンチマークで3倍を達成するとともに、以下のような取り組みが行われています。 benchmark-driver.github.io/hardware.html に書かれている環境で計測されました。 8c510e4095 が Ruby 3.0 として使われています。環境やベンチマークによっては3倍にならないかもしれません。 Ruby 3 では
RailsアプリケーションのRuby 3.0への展望 - koicの日記
パッチ会や地域 Ruby コミュニティなどで集めた知見を元に、勤務先の永和システムマネジメントなんかで度々話している表題についてテキスト化しておく。 TL;DR Ruby 2.8.0 の開発が始まっているが、それは 2020 年のどこかで Ruby 3.0 になるらしい Ruby 3.0 ではキーワード引数 (以下 kwargs) の分離という破壊的変更があり、Ruby 2.7 系は事実上の移行パスバージョン的な位置付けになるだろう 2020年1月8日の現時点では、Ruby 2.7 の kwargs の分離警告について対応された安定版の Rails はなく、周辺 Gem も WIP なので OSS エコシステムに参加していくと良い 2.8.0 (tentative; to be 3.0.0) development has started 2019年の ruby/ruby での matz
Ubuntu 18.04上においてruby-buildでruby 2.3.*をインストールする
Ubuntu 18.04になって早速、octopress環境をセットアップしようとruby 2.3.1をインストールしようとした。 Octopressをセットアップするのとおり、 git clone https://github.com/sstephenson/rbenv.git ~/.rbenv git clone https://github.com/sstephenson/ruby-build.git ~/.rbenv/plugins/ruby-build echo 'export PATH="$HOME/.rbenv/bin:$PATH"' >> ~/.bashrc echo 'eval "$(rbenv init -)"' >> ~/.bashrc source ~/.bashrc sudo apt-get install gcc build-essential libssl-d
Rubyで最速のテンプレートエンジンを作る方法 - k0kubun's blog
HamlitというRubyで使うテンプレートエンジンをメンテしてて、ちょっと前に思いついたけどこれまで実装してなかった最適化のアイデアを昨日それに実装したので、それについてちょっと書きたい。 github.com StringTemplate というテンプレートエンジン amatsuda/string_template というテンプレートエンジンがあって、 これは "the fastest template engine for Ruby" であると主張されている。 I think I just invented the fastest template engine for Ruby (Rails). Please enjoy! https://t.co/N056SReLh2 https://t.co/74MdR5DINj— Akira Matsuda (@a_matsuda) Dece
ruby の開発リポジトリを git にした, Asakusa.rb 第511回 - HsbtDiary(2019-04-23)
■ ruby の開発リポジトリを git にした RubyKaigi 2019 の開催中に @k0kubun 君が「発表が終わったら会期中に残りのタスクは全部やりますよ」と勢いのあるやる気をみせていたので、準備は広範囲にちまちま進めていた、という Ruby のリポジトリの Git 以降に必要な自分に割り振られているものをバンバン直していた。 https://www.ruby-lang.org/en/news/2019/04/23/move-to-git-from-svn/ 細かい部分は色々あるんだけど、大体は以下のようなチームプレイで進めていった。 @hsbt が現状をヒヤリングしたり、サーバーにログインして調べつつ、2019年の今風の開発でバンバン開発できるように構成を変更したり github に切り出したり、なんかやりたいという人にバンバン権限を渡していった。具体的にはサーバーにログイ
令和時代のRubyコア開発 - k0kubun's blog
Ruby Core Development 2019というタイトルでRubyKaigiのCFPにプロポーザルを書いたのだが、 もう一つ書いた方の話が採択されたのでその話はしなかった。 さて、今日はRubyコア*1の開発がSubversionからGitに移った節目でもあったので、そっちのトークで言いたかったことの一部を記事にしておこうと思う。 Subversion → Git 移行 [Misc #14632] 去年くらいから @hsbt さんが cgit というGitフロントエンドを使ってGitリポジトリの準備を始め Misc #14632、ついに今日正式にcgitの方がupstreamになった。平成の時代でSubversionでのtrunkのRubyコア開発は幕を閉じた。 この辺を進めているのは主に @hsbt さんな中、僕がこれを偉そうに書いたり今回のRubyKaigiで壇上でアナウンス
Ruby mechanizeのtextareaの扱いでハマった - smallfield
textareaを含む編集フォームで、何もいじっていないのに勝手に行頭に改行が追加されていく現象が発生したので調べてみた。 原因としては、 <textarea> hoge </textarea> みたいなHTMLが帰ってきた場合に、Mechanize::Form::Textarea#value が返す値として期待していたのは、"hoge"なんだけど、実際には"\r\nhoge\r\n"が返ってきたよという話。タチが悪いことにこのままPOSTしたりすると、先頭に改行の入るデータがPOSTされてしまうという。。。 今回は対象HTMLが皆上記のようなtextareaの書き方だったので、下記の様なモンキーパッチあてて対応した。 混在している場合はどうするのが正解なのかわからない。。。Webブラウザの挙動を見る限り、"タグ直後の改行は無視する"のが鉄板のようなので、下記のコードでいいっぽいけど。 c
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - weshatheleopard/rubyXL: Ruby lib for reading/writing/modifying .xlsx and .xlsm files
GitHub - axlsx-styler-gem/axlsx_styler: Build clean and maintainable styles for your axlsx spreadsheets. Build your spreadsheeet with data and then apply styles later.
GitHub - randym/axlsx: xlsx generation with charts, images, automated column width, customizable styles and full schema validation. Axlsx excels at helping you generate beautiful Office Open XML Spreadsheet documents without having to understand the entir
