最近、Railsのかなり注目を集めたセキュリティの脆弱性により、Ruby アプリケーションでユーザーが指定した YAML を解析することの潜在的な危険性が明らかになりました。
Google で簡単に検索すると、Python の YAML ライブラリsafe_load
には、任意の型のオブジェクトではなく、「整数やリストなどの単純な Python オブジェクト」のみを逆シリアル化するメソッドが含まれていることがわかります。
Rubyには同等のものがありますか? カスタムパーサーを手書きせずにRubyアプリケーションでYAML入力を安全に受け入れる方法はありますか?