GitHub 发现了 studygolang 项目依赖的漏洞

共 770字,需浏览 2分钟

 ·

2022-01-23 16:29

阅读本文大概需要 2 分钟。

大家好,我是 polarisxu。

今天打开 studygolang 项目的 GitHub 仓库主页,发现了一个醒目的提示:

即发现了潜在的安全漏洞。

之所以 GitHub 能够发现这个安全漏洞,前提是我之前进行了授权。之前我写过一篇文章:《重磅!GitHub 为 Go 社区带来安全支持》,没看过的可以看看。

查看 「Dependabot alerts」,发现是 tidwall/gjson 有漏洞:

点击可以查看该漏洞的详细信息:

所以,修复该问题很简单,在 studygolang 项目执行以下命令:

$ go get -u github.com/tidwall/gjson
go: downloading github.com/tidwall/gjson v1.12.1
go: downloading github.com/tidwall/match v1.1.1
go get: upgraded github.com/tidwall/gjson v1.8.1 => v1.12.1

然后提交代码。注意,要确保这个有漏洞的依赖是你的项目直接依赖的。可以通过相关工具找到依赖关系。

如果你在维护开源项目,建议开启这个检测功能。




往期推荐


福利

我为大家整理了一份从入门到进阶的Go学习资料礼包,包含学习建议:入门看什么,进阶看什么。关注公众号 「polarisxu」,回复 ebook 获取;还可以回复「进群」,和数万 Gopher 交流学习。

浏览 28
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报