Ruby on Railsの主要開発者であるDavid Heinemeier Hansson氏は5日(米国時間)、Ruby on Railsの安定版最終リリースになるとみられる「Ruby on Rails 1.2.4」を公開した。Ruby on Rails(以下、Rails)はRubyで作成されたフルスタックのWebアプリケーションフレームワーク。The MIT Licenseのもとで公開されているオープンソースソフトウェアで、アジャイルなWebアプリケーション開発を実現するツールとして高い人気を誇る。
Rails 1.2.4では最終になるとみられる非推奨警告が追加されているほか、セキュリティフィックスや、パフォーマンスの改善などが実施されている。1.2.3以前のバージョンを使っているすべてのユーザに1.2.4へのアップグレードが推奨されている。
Rails 1.2.4へのアップグレードは、次期メジャーバージョンとなるRails 2.0への移行を考えているユーザにとっても重要な位置づけだ。1.2.4で出力される非推奨警告は2.0ではエラーとなる。1.2.4で警告なく動作するようにすれば、そのまま2.0へと移行できるわけだ。特にRESTfulルーティングを使っている場合には特別の注意を払っておきたい。これまではURLにおいて「;」を使っていたが、2.0からは「/」となる。1.2.4へ移行すると同時に書き換えを進めた方がいいだろう。
1.2.4ではURLベースセッションのサポートを削除することでセッション固定攻撃の可能性が軽減されているほか、ActiveRecord::Base#to_jsonを使っている場合に発生する可能性があるXSS攻撃を回避するようにJSONエンコーディングアルゴリズムが変更されている。またデフォルトで特定の危険性の高いオプションを無効にすることでXmlSimpleのセキュリティの危険性や性能上の問題が修正されている。
Rails 1.2.4はRails 1.2系を採用しているユーザやデベロッパにとっても、Rails 2.0への移行を考えている場合にも重要なリリースだ。セキュリティ上の問題が解決されていることから1.2系を採用しているすべてのユーザは1.2.4への移行を実施されたい。また2.0への移行を考えている場合も、一旦1.2.4へアップグレードしてから非推奨警告が表示されないようにコードの変更を実施されたい。