Извините за неясность.
Наш текущий процесс сборки начинается с базового образа Discourse, упомянутого в предыдущем сообщении, затем выполняется скрипт — это лишь этап инициализации (bootstrap) из поддерживаемого процесса установки (скрипт запуска), но без шагов, требующих активного подключения к Redis/БД.
Таким образом, этап инициализации, как я полагаю, устанавливает все зависимости Ruby и npm для Discourse. Версии, которые появляются в списке уязвимостей, в основном относятся к зависимостям самого приложения Discourse.
Я также провёл небольшое расследование и выяснил, что зависимости Go, на которые указываются, относятся к npm-пакету esbuild, который собран с использованием Go. Версия Go, используемая этим пакетом, содержит уязвимость в стандартной библиотеке, что и приводит к её отметке. Поэтому, думаю, решение этой проблемы потребует перекомпиляции этой библиотеки, и я не уверен, стоит ли прилагать для этого усилия.
Остальные уязвимости — это либо прямые зависимости Ruby/npm, либо транзитивные зависимости Discourse. Мой вопрос касался в основном обновления версий этих зависимостей непосредственно перед их установкой. Я понимаю, что разработчикам Discourse может быть сложно работать над исправлением этих проблем. Я просто хотел понять, существует ли способ проверить, вызовет ли «обновление» какие-либо проблемы, поскольку, возможно, некоторые зависимости создают проблемы только в определённых путях выполнения кода.