عذرًا لعدم وضوحي.
تبدأ عملية البناء الحالية لدينا بصورة discourse الأساسية المذكورة في الرسالة السابقة، ثم نقوم بتشغيل برنامج نصي، وهو مجرد خطوة تمهيدية لعملية التثبيت المدعومة (البرنامج النصي المشغل)، ولكن دون تشغيل الخطوات التي تتطلب اتصالاً نشطًا بـ redis/db.
لذلك، تفترض خطوة التمهيد تثبيت جميع تبعيات ruby وتبعيات npm الخاصة بـ discourse. الإصدارات التي تظهر في قائمة الثغرات هي في الغالب تبعيات تطبيق discourse نفسه.
لقد قمت أيضًا ببعض البحث واكتشفت أن تبعيات golang التي يتم تمييزها تأتي من تبعية npm تسمى esbuild، والتي يتم بناؤها باستخدام golang. الإصدار الذي يستخدمه من go يحتوي على ثغرة في المكتبة القياسية، والتي يتم تمييزها. لذلك أعتقد أن حل هذه المشكلة سيتطلب إعادة تجميع تلك المكتبة، لذلك لست متأكدًا مما إذا كان الأمر يستحق الجهد.
ولكن الثغرات الأخرى هي إما تبعيات ruby/npm مباشرة أو تبعيات متعدية لـ discourse. كان سؤالي بشكل أساسي حول تحديث إصدارات تلك التبعيات، قبل تثبيتها مباشرة. أفهم أنه سيكون من الصعب على مطوري discourse العمل على إصلاح تلك الثغرات. كنت أحاول فقط فهم ما إذا كانت هناك طريقة للتحقق مما إذا كان “الترقية” تسبب مشكلة أم لا، حيث كان تخميني هو أن بعض التبعيات قد تسبب مشاكل فقط في مسارات معينة من التعليمات البرمجية.