SSブログ

GitHub の Security Advisory 警告メール [golang]

以下のようなメールが 2通きた

[nakagami]A security advisory on golang.org/x/crypto affects at least one of your repositories

以下の CVE
- CVE-2022-27191
- CVE-2021-43565
について、公開している Go のリポジトリが依存しているライブラリに脆弱性があるから、新しいバージョンにしてというお知らせだった。
こういう機能が、効果的に動作してるのすごいなと思った。

はっきりとした記憶はないが、おそらく受け取ったのは初めて。

脆弱性のある機能は使ってなかったが、まあいつか新しいバージョンにしないといけないので、依存パッケージのバージョンを上げて push した。
すると、ここ↓に警告が出ていたのに出なくなった

- https://github.com/advisories/GHSA-8c26-wmh5-6g9v/dependabot?query=user:nakagami
- https://github.com/advisories/GHSA-gwc9-m7rh-j2ww/dependabot?query=user:nakagami

うまくできているなぁ

他の言語でどうなのかは知らないが、 Go言語は、依存ライブラリとそのバージョンは go.mod に書いてあるから検知しやすいよな。
コメント(0) 
共通テーマ:日記・雑感