だいぶ前からGitHubにて、プロジェクトが利用するGemfileの脆弱性を判定してくれるようになっています。
参考までに僕が2年以上前にコミットしたサンプルプロジェクトを見てみます。 ちなみに脆弱性の情報は対象のリポジトリの権限をもっていないと表示されません。
対象のプロジェクトはこちら。
Railsアプリケーションにdoorkeeper入れてiOSと連携できるようにするサンプルのRails側のコード - GitHub - pi-chan/integration-sample-rails: Railsアプリケーションにdoorkeeper入れてiOSと連携できるようにするサンプルのRails側のコード
ログインしている状態でこのプロジェクトを開くと警告が表示されている状態になっています。
Reviewを押すか「insights」のタブから進んでサイドメニューの「Dependency Graph」リンクをクリックすると、次のような画面となるはず。
さらにそこから下線部のリンクへ進むと
脆弱性のあるバージョンだと判定されているGemがハイライトされた状態で並んでいます。
これを解消するには対象のGemをアップグレードすれば良いので、bundle update xxxxxしてPushすれば解消します。
もちろんライブラリのバージョンを上げることで副作用的に不具合が起こりうるので、複数のライブラリが対象になっている場合には注意が必要な場合があります。
なお、ログインしていない状態では次の画像のように警告は見えません。
