gem push によって、 gem の公開が大変簡単になりました。 しかし、敷居の低さは油断に繋がるもので、 近い将来、誰もが一度は秘匿性のあるファイルを誤って公開してしまい、 パニックになることでしょう。
今回、皆さんを出し抜く形になってしまい甚だ恐縮ではございますが、 一足先に体験させて頂きましたので、 その対処法を報告致します。
手順
- gem yank
- support staff への報告
1. gem yank
gem の新機能である yank コマンドを利用すると、 指定したバージョンの gem の公開を停止することができます。 例えば、foo-0.0.1 gem の場合、以下を実行します。
1 % gem yank foo -v0.0.1
この機能は rubygems1.
1 gem update --system 2 gem install gemcutter
2. support staff への報告
これで、gemcutter の index からは削除され、 gem search および install の対象からは除外されたのですが、 ホームページ上からは依然としてダウンロードが可能な状態になっています。 完全に削除しない理由は、
- その gem に依存関係を持つ gem が存在し得る
- 重要な gem (例えば rails) が突然なくなると困る
というポリシーからのようです。 でも、 「パスワードみたいに本当に致命的な場合は、 個別に判断するのでとりあえず連絡下さい」 という方針のようなので、 以下の問い合わせフォームから削除を嘆願します。
http://hel
これは基本的に公開BTSなので、下のほうにある
[x] This is a private discussion
を忘れずにチェックして、private なメッセージにして投稿しましょう。 これで数日中には完全に削除されるはずですので、 support staff に感謝の気持ちを伝えて作業完了です。
[おまけ] unyank
yank を取り消す(undo)機能も存在しています。
1 % gem yank foo -v0.0.1 --undo
この yank / undo の一連の操作を覚えておくと、 「もしかしてセキュリティーホールがある?」 「新バージョンでエンバグしてる?」 なんて時には速攻で yank して、 「やっぱ気のせい」 という場合は undo で戻せるので、とても便利です。
追記)対応は約1営業日でした。チームの忙しさに応じて変動するとは思いますが、大体の目安情報ということで。公開を完全に停止させる事ができるという知見は得ましたが、機械的に自動化されている訳ではないので、削除依頼をする羽目にならないように、gem を push するときには再確認しましょうという教訓でした。