Concernant composer, SensioLabs a mis à disposition un outil qui permet, pour chaque dépendance installée, de vérifier si une faille de sécurité connue concerne la version installée.

Chez M6Web, nous avons branché ça dans notre outil d’intégration continue : si une faille est détectée, le build est en failure.
C’est partiel, puisqu’il faut que la faille de sécurité soit connue de la base de données liée (https://security.sensiolabs.org/database), mais c’est déjà un bon pas ;)

PS : a priori, il semble exister la même chose pour les fichiers Gemfile