Привет, я изучаю неудачные проверки безопасности для моих собственных проектов, которые зависят от Gunicorn 19.10.
Я открыл эту связанную проблему https://github.com/apache/airflow/issues/15570 , но теперь я здесь для уточнения.
Каково текущее состояние 19.10?
В этом CVE говорится, что в выпусках 19.10 и 20.0.1 исправлена уязвимость контрабанды запросов.
Однако в выпуске 19.10 есть неудачная сборка PyPI https://pypi.org/project/gunicorn/19.10.0/ .
И 19.10 не имеет примечаний к выпуску https://github.com/benoitc/gunicorn/releases.
Примечание. Возможно, это проблема с моей базой данных уязвимостей. Безопасность https://github.com/pyupio/safety-db/blob/master/data/insecure_full.json#L8507
Вкратце: стабильна ли и безопасна ли версия 19.10?
19.10 имеет примечания к выпуску в журнале изменений . Я перестал использовать это
функция гитхаба. Неудачные сборки из-за этой хрени travis ci и test
на окнах. В ближайший месяц КИ будет переведен на более качественное обслуживание.
Что касается этой CVE, мы не открывали ее, поэтому, по-видимому, некоторые люди
информированнее меня. В любом случае этой «проблемы» нет в 19.10. Это «CVE» правильно.
@benoitc Спасибо за быстрый ответ!
Это прекрасно отвечает на мои вопросы.
Для справки, 19.10 помечен Pipenv/Safety как небезопасный, но сейчас я перейду туда, чтобы узнать об обновлении базы данных :)
@benoitc Спасибо за быстрый ответ!
Это прекрасно отвечает на мои вопросы.Для справки, 19.10 помечен Pipenv/Safety как небезопасный, но сейчас я перейду туда, чтобы узнать об обновлении базы данных :)
afaik 20.1.0 стабилен и безопасен. Это текущая поддерживаемая версия. Ветвь 19.x несколько устарела.
afaik 20.1.0 стабилен и безопасен. Это текущая поддерживаемая версия. Ветвь 19.x несколько устарела.
Да, но Airflow запрашивает версии между 19.5.0 и 20.0, это проект, который я использую, поэтому мне пришлось проверить - еще раз спасибо (весьма приятно получать такие быстрые ответы)
Спасибо @CoburnJoe за вопрос и @benoitc за ответ. Действительно, Airflow 2.x использует ограничение <20, но вся дискуссия побудила меня выяснить, почему (особенно эта строка 1.10 уже перемещена на 20.). Скорее всего скоро обновлю и перейду на 20. Линейка версий :)