※ 「Ruby/Rails界隈ウォッチ」は2016年12月より週刊Railsウォッチにタイトルを改めました。
こんにちは、hachi8833です。
懐手しながら散歩する趣きで、RailsやRuby界隈のニュースをピックアップしながらご紹介します。
Riding Railsニュース
Railsコントリビュータ
Rails Contributorsにはコミット数上位のcontributorたちが掲載されています。今週の様子はRails Contributors – Date Rangeで見られます。
OpenSSLのキー長の非互換性
Ruby 2.4のOpenSSL周りの変更によってキー長の互換性が失われたという話題(#25185)。#25758で修正された模様。
Hacker News
MySQLのリモートルートコード実行/権限昇格の脆弱性
CVE-2016-6662が話題になっていますが、legalhackers.comにやばいぐらい詳しく紹介されています。
気になるのは、CVE-2016-6663以外にも脆弱性があるらしいという点です。
It is worth to note that attackers could use one of the other vulnerabilities discovered
by the author of this advisory which has been assigned a CVEID of CVE-2016-6663 and is
pending disclosure. The undisclosed vulnerability makes it easy for certain attackers to
create /var/lib/mysql/my.cnf file with arbitrary contents without the FILE privilege
requirement.MySQL <= 5.7.15 Remote Root Code Execution / Privilege Escalation (0day) (CVE-2016-6662)
「CVE-2016-6662 MySQL Remote Root Code Execution / Privilege Escalationについて – Qiita」で日本語情報を読むこともできます。
Ruby Weekly
なお、Koichi SasadaさんがRubyKaigiで発表したスライドも掲載されています。
Resumable File Uploads in Ruby
janko-m/tus-ruby-serverはアップロードを再開(resume)できるRubyサーバーですが、ここで使われているのがtus.ioというオープンソースベースのアップロード再開用プロトコルです。github.com/tusを見るとJavaScriptやObjective-CやGoなどでサーバーやクライアントが作られていて、結構賑わっているようです。「HTTPベース」「本番で使える」「オープンソース」「コンパクトな仕様」「拡張しやすい」「コミュニティによる運営」を謳っています。
Good Module, Bad Module
「よいモジュール悪いモジュール」という昭和の女性詩人のようなタイトル。モジュールを名前空間化する場合であっても、FooBarFighters::Fileのような一般的過ぎる名前はなるべく避けよう、といったアドバイス。
Github.com/trending
Starの増加の多いもののうち、新し目のものを見てみました。
- jellymann / mittsu: Rubyの3Dグラフィックライブラリです。日本語の「三つ」がいかにも。
- testdouble / suture: 先日のRubyKaigi 2016でも評判になった、リファクタリング支援ツールです。sutureは外科手術につきものの「縫い目、縫合用の糸」。
今週は以上です。