GitHub 發(fā)現(xiàn)了 studygolang 項目依賴的漏洞

大家好，我是 polarisxu。

今天打開 studygolang 項目的 GitHub 倉庫主頁，發(fā)現(xiàn)了一個醒目的提示：

即發(fā)現(xiàn)了潛在的安全漏洞。

之所以 GitHub 能夠發(fā)現(xiàn)這個安全漏洞，前提是我之前進行了授權(quán)。之前我寫過一篇文章：《重磅！GitHub 為 Go 社區(qū)帶來安全支持》，沒看過的可以看看。

查看 「Dependabot alerts」，發(fā)現(xiàn)是 tidwall/gjson 有漏洞：

點擊可以查看該漏洞的詳細信息：

所以，修復(fù)該問題很簡單，在 studygolang 項目執(zhí)行以下命令：

$?go?get?-u?github.com/tidwall/gjson
go:?downloading?github.com/tidwall/gjson?v1.12.1
go:?downloading?github.com/tidwall/match?v1.1.1
go?get:?upgraded?github.com/tidwall/gjson?v1.8.1?=>?v1.12.1

然后提交代碼。注意，要確保這個有漏洞的依賴是你的項目直接依賴的?？梢酝ㄟ^相關(guān)工具找到依賴關(guān)系。

如果你在維護開源項目，建議開啟這個檢測功能。