GitHub 发现了 studygolang 项目依赖的漏洞
polarisxu
共 853字,需浏览 2分钟
·
2022-01-12 21:46
阅读本文大概需要 2 分钟。
大家好,我是 polarisxu。
今天打开 studygolang 项目的 GitHub 仓库主页,发现了一个醒目的提示:
即发现了潜在的安全漏洞。
之所以 GitHub 能够发现这个安全漏洞,前提是我之前进行了授权。之前我写过一篇文章:《重磅!GitHub 为 Go 社区带来安全支持》,没看过的可以看看。
查看 「Dependabot alerts」,发现是 tidwall/gjson 有漏洞:
点击可以查看该漏洞的详细信息:
所以,修复该问题很简单,在 studygolang 项目执行以下命令:
$ go get -u github.com/tidwall/gjson
go: downloading github.com/tidwall/gjson v1.12.1
go: downloading github.com/tidwall/match v1.1.1
go get: upgraded github.com/tidwall/gjson v1.8.1 => v1.12.1
然后提交代码。注意,要确保这个有漏洞的依赖是你的项目直接依赖的。可以通过相关工具找到依赖关系。
如果你在维护开源项目,建议开启这个检测功能。
我是 polarisxu,北大硕士毕业,曾在 360 等知名互联网公司工作,10多年技术研发与架构经验!2012 年接触 Go 语言并创建了 Go 语言中文网!著有《Go语言编程之旅》、开源图书《Go语言标准库》等。
坚持输出技术(包括 Go、Rust 等技术)、职场心得和创业感悟!欢迎关注「polarisxu」一起成长!也欢迎加我微信好友交流:gopherstudio
评论