Désolé de mon manque de clarté.
Notre processus de build actuel commence par l’image de base discourse mentionnée dans le message précédent, puis exécute un script, qui est simplement l’étape d’amorçage du processus d’installation pris en charge (le script de lancement), mais sans exécuter les étapes qui nécessitent une connexion active à redis/db.
Donc, l’étape d’amorçage, je suppose, installe toutes les dépendances ruby et les dépendances npm de discourse. Les versions qui apparaissent dans la liste des vulnérabilités sont principalement les dépendances de l’application discourse elle-même.
J’ai également fait quelques recherches et découvert que les dépendances golang qu’il identifie proviennent d’une dépendance npm appelée esbuild, qui est construite à l’aide de golang. La version de go qu’elle utilise a une vulnérabilité dans sa bibliothèque standard, qui est identifiée. Je pense donc que résoudre ce problème nécessiterait une recompilation de cette bibliothèque, je ne suis donc pas sûr que cela vaille la peine.
Mais les autres vulnérabilités sont soit des dépendances ruby/npm directes, soit des dépendances transitives de discourse. Ma question portait principalement sur la mise à jour des versions de celles-ci, juste avant de les installer. Je comprends qu’il serait difficile pour les développeurs de discourse de travailler à la correction de celles-ci. J’essayais juste de comprendre s’il existait un moyen de vérifier si la « mise à niveau » provoque un problème ou non, car je suppose que certaines dépendances pourraient en fait ne causer des problèmes que dans certains chemins de code.