鉴于 https://www.ruby-lang.org/en/news/2020/03/19/json-dos-cve-2020-10663/,你们使用的是哪个后端?如果是 json gem,Gemfile 是否应该强制使用 2.3.0 版本,而不是 Ruby 标准库中的版本?
我们主要使用 Oj,但我想在某些情况下仍会直接使用 json。
我已在此处更新了依赖项:
https://review.discourse.org/t/dev-upgrade-json-gem-and-add-explicit-dependency/10016
与此同时,从 2.4 版开始的所有 Ruby 分支的发布版本中,树内 JSON 副本已包含安全修复。