RubyGems のリポジトリの rubocop ルールの統一化を始めた - HsbtDiary(2023-03-15)からちまちまと続けていた rubocop ルールの整備がだいたい一段落して、残ったものはどうすっかなあ、というものだけになった。
残ったルールと懸念事項は以下のような状態。
Gem::Dependency#match?
というメソッドが定義されている関係で誤検知しまくって辛い。先に deprecate にするなりしたほうがよさそう。上は TODO なりに避けた上でルールファイルを一つにしてしまう、って感じで進めてしまおうかな。道のりは遠い。
URI に細工した URL を入れると CPU を回し続けるいわゆる ReDoS の脆弱性の対応をしていた。
https://www.ruby-lang.org/en/news/2023/03/28/redos-in-uri-cve-2023-28755/
実際にパッチを書いたのは nobu だけど、CVE をアサインしたり、今生きている 4 つの安定バージョンそれぞれに対応したパッチを用意したり、各ブランチでだけ更新されている変更を取り込んだり、細々したことを全部やっていた。
今は仕事なんで、という態度で時間を使えばいいけど、仕事じゃない人がこれをやるのは無理でしょこれというくらいあれこれ考える必要があって相変わらず大変だなあ。なんで大変なの、というのはそのうちテックブログあたりに書きます。