嗨,我正在调查我自己的依赖于 Gunicorn 19.10 的项目的安全扫描失败。
我打开了这个相关问题https://github.com/apache/airflow/issues/15570 ,但现在我在这里澄清一下。
19.10 的当前状态是什么?
该 CVE表示 19.10 和 20.0.1 版本已经修补了请求走私漏洞。
但是,19.10 版本在 PyPI 上构建失败https://pypi.org/project/gunicorn/19.10.0/
而且 19.10 没有任何发行说明https://github.com/benoitc/gunicorn/releases
注意:这可能是我的漏洞数据库安全https://github.com/pyupio/safety-db/blob/master/data/insecure_full.json#L8507的问题
简而言之:19.10 稳定且安全吗?
CoburnJoe
所有5条评论
19.10 在更新日志中有发布说明。 我停止使用这个
github 功能。 失败的构建是由于 travis ci 和 test 的废话
在窗户上。 在接下来的一个月中,CI 将转移到更好的服务。
至于这个 CVE,这不是我们公开的,所以显然有些人是
比我见多识广。 无论如何,这个“问题”在 19.10 中不存在。 那个“CVE”是正确的。
benoitc
于 2021-04-28
@benoitc感谢您的快速回复!
这完美地回答了我的问题。
作为参考,19.10 被 Pipenv/Safety 标记为不安全,但我现在将移到那里查看数据库更新:)
CoburnJoe
于 2021-04-28
@benoitc感谢您的快速回复!
这完美地回答了我的问题。作为参考,19.10 被 Pipenv/Safety 标记为不安全,但我现在将移到那里查看数据库更新:)
afaik 20.1.0 稳定且安全。 这是当前支持的版本。 19.x 分支有些被弃用。
benoitc
于 2021-04-28
afaik 20.1.0 稳定且安全。 这是当前支持的版本。 19.x 分支有些被弃用。
是的,但 Airflow 要求的版本在 19.5.0 和 20.0 之间,这是我正在使用的项目,所以我不得不检查 - 再次感谢(获得如此快速的响应非常令人耳目一新)
CoburnJoe
于 2021-04-28
感谢@CoburnJoe的提问和@benoitc的回答。 确实 Airflow 2.x 使用 <20 的限制,但整个讨论促使我调查原因(尤其是 1.10 行已经移至 20.)。 我可能会很快更新它并切换到 20。版本线:)
potiuk
于 2021-04-28
相关问题
gr790
·
4评论
vaibhavpatil123
·
4评论
mrwillis
·
4评论
alep
·
3评论
bywangxp
·
4评论