В Rails компоненте популярного сервиса совместной разработки программных проектов Github обнаружены несколько уязвимостей. Егор Хомяков нашел и описал уязвимости в сервисе Github. Разработчики Github устранили уязвимости и уточнили пользовательское соглашение сервиса.

Уязвимости массового присвоения параметров в Rails далеко не новость. Более того, угроза массового присвоения параметров хорошо задокументирована в главном руководстве проекта Rails и в других источниках. Новость в том, что даже высококвалифицированные разработчики продолжают упускать угрозу массового присвоения параметров из виду. Реакция проекта Rails ожидается.

На радость труженикам веб-программирования буквально пару дней назад в блоге Ruby on Rails было сообщено о знаменательном событии - релизе одноимённого Model-View-Controller framework'а за версией 3.2. Из изменений, достойных внимания, упомянем следующие:

• Изменение правил перезагрузки классов. Теперь перегружаются только действительно изменённые классы. Данное изменение приводит к значительному ускорению процесса разработки.
• Автоматическое журналирование планов медленных запросов к БД, сгенерированных Arel.
• Возможность назначения меток отладочным сообщениям c возможностью последующей быстрой фильтрации по нужной метке.
• Active Record Store - хранилище типа ключ-значение

Тем, кто на горячую голову решит обновиться, рекомендую прочитать сначала замечания к релизу.

>>> Скачать

Для загрузки и установки доступен релиз фреймворка для построения веб-приложений rails 3.1.

Основные новшества в этой версии:

• Asset Pipeline - фреймворк для сборки и сжатия JS и CSS под управлением Sprockets 2.0. Теперь как генерируются контроллеры, виды и модели для ваших скаффолдов, также будут создаваться и JS и CSS. Это позволяет достичь более удобной архитектуры и разгрести десятки десятки файлов из public/javascript по модулям. Рельсы сами будут заботиться о сборке всех ваших клиентских файлов в один и кешировании. Краткое руководство по Asset Pipeline
• HTTP Streaming - позволит начать браузеру скачивать таблицы стилей и javascript'ы ещё до того, как сервер закончит формировать ответ. Результат — заметное увеличение скорости отдачи страниц. Это всего лишь опция, которая требует поддержки от web-сервера. Связка nginx+unicorn уже готова поддерживать эту возможность. Пример и как это работает можно посмотреть на RailsCasts.
• jQuery теперь используется по умолчанию. Использовать prototype можно всего лишь поменяв jquery-rails на prototype-rails в Gemfile.
• Другие изменения:
  • DRY миграции, которые знают сами, как себя обратить.
  • Mountable engines теперь могут быть иметь своё собственное пространство маршрутов и помошников.
  • Prepared statements - ActiveRecord теперь использует кешированные подготовленные выражения, которые дают большой прирост производительности в PostreSQL и на сложных запросах в MySQL. Вместо формирования запроса и передачи его в БД каждый раз, Rails один раз формирует запрос, а затем использует его специальный токен (подставляя нужные данные), когда нужно сделать похожий. Дает прирост в производительности на 20-30% на простых запросах и 10-кратный прирост по запросам в секунду на сложных запросах.
  • Rack::Cache включен по умолчанию. Делает возможным использование HTTP-кеширования с условным получением (Conditional Get) как замены для постраничного кеширования. В скором времени постраничное кеширование уберут из стандартной поставки.
  • Turn — новый вывод для Test::Unit в Ruby 1.9
  • ForceSSL - позволяет использовать безопасные соединения намного проще.
  • Основанный на ролях mass-assignment. attr_protected теперь принимает в качестве параметра роль.
  • has_secure_password - простое встраивание парольной защиты на BCrypt.
  • Custom serializers - теперь есть возможность самому указать способ хранения объектов в базе, а не только в формате YAML.

Также можно посмотреть небольшой видео обзор на RailsCasts
Если вы создаёте новое приложение, то лучше используйте Ruby 1.9.2. Rails будут поддерживать 1.8.x вплоть до 4.0, но только для совместимости.

>>> Подробности

Подробности о технической реализации и внутренней архитектуре одного из самых быстроразвивающихся интернет-проектов.

Среди используемых технологий:

• Apache + mod_proxy
• Ruby on Rails + Unicorn
• FlockDB + MySQL
• Cassandra
• Hadoop

>>> Подробности

Начиная с версии 7.0 официальная поддержка ruby & rail удалена из netbeans. 27го января соответствующий код удалён из репозитария. Сообществу предлагается развивать данную функциональность самостоятельно.

Называются две причины - желание сконцентрироваться на Java EE 7 и недостаточная проработанность поддержки ruby в NB на данный момент. Проект также жалуется на нехватку людских ресурсов.

>>> Подробности

После более, чем 2 лет разработки, вышел Rails 3.0.

Изменения:

• Новый механизм запросов Active Record
• Новый механизм маршрутизации для Action Controller
• Новый Action Mailer для отправки почты
• Защита от XSS по умолчанию
• Устранение проблем с кодировками (скажите до свидания «�»)
• Улучшения в Active Model
• Официальный API для плагинов
• И многое другое

Ruby On Rails - популярный веб-фреймворк, написанный на Ruby. Данная версия предназначена для работы с Ruby 1.8.7, Ruby 1.9.2, и JRuby 1.5.2+.

Установить можно при помощи gem install rails --version 3.0.0

>>> Подробности

Вышла долгожданная версия 1.0.0 системы управления проектом Redmine, работающей на Ruby on Rails!

Среди основных изменений (по сравнению с 0.9.0):

• Поддержка подзадач (subtasks)
• Полноценный REST-интерфейс для работы с тикетами (issues)
• Переезд гемов (gems) с GitHub на RubyGems
• Полная поддержка Ruby 1.9.x
• Огромное количество различных багфиксов и мелких улучшений, которые нет смысла описывать в этой новости.

Разработчики благодарят всех, кто помогал проекту за все четыре года его существования.

Вы всё ещё здесь? Давайте обновимся!

>>> Подробности

Вышла новая версия замечательной CMS на Ruby on Rails - Radiant 0.9.0. В данной версии исправлено множество багов, обновлён внешний вид панели администратора, а также:

• Расширены возможности постраничного вывода
• Добавлена возможность работы CMS из поддиректории
• Новая система расширений. Теперь расширения могут быть загружены как обычные gem'ы
• Переход на Rails 2.3.8 (рельсы включены в состав CMS)

Полный список изменений

>>> Сайт Radiant CMS

22 июня 2010 г. в Минском институте управления пройдёт круглый стол для начинающих IT-специалистов, посвящённый технологии Ruby on Rails. Эксперты, которые работали на первых Rails-проектах в Беларуси, обсудят, как сегодня построить карьеру молодому специалисту после окончания ВУЗа или при смене специализации.

Краткая программа (18:00-21:40):

1.   «Ruby on Rails 3: современные возможности и альтернативы»
2.   «Rails 3: Блог за 15 минут»
3.   Круглый стол: «Перспективы Ruby on Rails для начинающих IT-специалистов»

>>> Подробности на сайте белорусской RoR User Group

После релиз-кандидата вышла долгожданная версия 2.3.2 популярного веб-фреймворка на Ruby, содержащая множество изменений, основные из которых:

• шаблоны приложений (можно описать скелет стандартного приложения, со всем необходимым для старта: gem, конфиги, и т.п.);
• metal (небольшие куски кода, которые можно ОЧЕНЬ быстро вызывать без всего стека rails);
• плотная интеграция с rack, прослойкой между веб-сервером и ror-приложением;
• ActiveRecord получил вложенные транзакции.

Приятные мелочи:

• "ленивые" сессии;
• application.rb наконец стал application_controller.rb;
• диспетчеры (public/dispatch.*) больше не генерятся для нового приложения;
• find теперь может доставать из базы кусками, а не все сразу;
• render стал умнее;
• при выставленной локале автоматом подхватываются локализованные вьюшки (app/views/posts/show.ru.html.erb);
• появилась возможность в настройках выбирать парсер XML(libXML вместо стандартного REXML).

NB тесты надо немного поменять, потому что Test::Unit::TestCase теперь стал ActiveSupport::TestCase.

>>> release notes

The Ruby web development community ожидает большой сюрприз. Программисты проектов Rails и Merb projects аносировали свои планы по объединению усилий для Rails 3, следущего релиза популярнейшего open source web framework.

Merb is an MVC framework. Unlike Rails, Merb is ORM-agnostic, JavaScript library agnostic, and template language agnostic, preferring plugins that add in support for a particular feature rather than trying to produce a monolithic library with everything in the core.

Merb is also thread-safe and was originally engineered to handle multiple file uploads concurrently.

http://www.merbivore.com/why_merb.html

>>> Подробности

Новая версия Web-фреймворка на Ruby включает:

• Интернационализацию.
• Потокобезопасность, пулинг соединений с БД.
• Совместимость с JRuby и Ruby1.9.
• Улучшенную документацию.

>>> Подробности

Rails Guides Hackfest - это попытка уменьшить порог вхождения в мир Rails. Вам предлагается на выбор несколько тем, для которых нужно написать путеводитель для разработчиков, не знакомых с инструментарием.

Автор первого убедительного путеводителя будет награжден: 200$ + GitHub Micro account на 1 год (7$/месяц) + 1 год RPM Basic (Production performance management) до 10 хостов - 4800$.

>>> Подробности

Для тех, кому хочется попробовать силы в скриптописании на Ruby, на блоге соавтора JRuby выложена инструкция, как поднять сервер на JVM с Rails за 15 минут.

>>> Подробности

Множественные уязвимости в Ruby позволяют вызвать отказ в обслуживании (DoS) или выполнить произвольный код:

• CVE-2008-2662
• CVE-2008-2663
• CVE-2008-2725
• CVE-2008-2726
• CVE-2008-2664

Уязвимые версии:

• 1.8.4 и все предыдущие версии
• 1.8.5-p230 и все предыдущие версии
• 1.8.6-p229 и все предыдущие версии
• 1.8.7-p21 и все предыдущие версии
• 1.9.0-1 и все предыдущие версии

Учтите! В Ruby 1.8.7 поломана обратная совместимость и он совместим только с RoR 2.1, потому не стоит сгоряча обновляться.

Есть некоторые проблемы при использовании 1.8.6p230 на linux.

>>> Подробности