В свете CVE-2020-10663: Unsafe Object Creation Vulnerability in JSON (Additional fix) | Ruby, какой бэкенд вы используете? Если это gem json, не следует ли в файле Gemfile принудительно указать версию 2.3.0 вместо копии из стандартной библиотеки Ruby?
Мы в основном используем Oj, но, полагаю, есть случаи, когда json всё ещё применяется напрямую.
Я обновил зависимость здесь:
https://review.discourse.org/t/dev-upgrade-json-gem-and-add-explicit-dependency/10016
Тем временем доступны релизы Ruby для всех веток начиная с версии 2.4, в которые включено исправление уязвимости безопасности в локальной копии JSON.