Entschuldigung, dass ich unklar war.
Unser aktueller Build-Prozess beginnt mit dem in der vorherigen Nachricht erwähnten Discourse-Basisimage und führt dann ein Skript aus, das nur der Bootstrap-Schritt des unterstützten Installationsprozesses (das Launcher-Skript) ist, jedoch ohne die Schritte auszuführen, die eine aktive Redis/DB-Verbindung erfordern.
Der Bootstrap-Schritt installiert meiner Annahme nach alle Ruby-Abhängigkeiten und die npm-Abhängigkeiten von Discourse. Die Versionen, die in der Schwachstellenliste aufgeführt sind, sind größtenteils Abhängigkeiten der Discourse-Anwendung selbst.
Ich habe auch etwas recherchiert und festgestellt, dass die von ihm markierten Golang-Abhängigkeiten von einer npm-Abhängigkeit namens esbuild stammen, die mit Golang erstellt wird. Die von ihm verwendete Go-Version hat eine Schwachstelle in der Standardbibliothek, die markiert wird. Ich glaube daher, dass die Behebung dieses Problems eine Neukompilierung dieser Bibliothek erfordern würde, daher bin ich mir nicht sicher, ob sich der Aufwand überhaupt lohnt.
Die anderen Schwachstellen sind jedoch entweder direkte Ruby/npm-Abhängigkeiten oder transitive Abhängigkeiten von Discourse. Meine Frage bezog sich hauptsächlich auf die Aktualisierung der Versionen dieser Abhängigkeiten, kurz bevor sie installiert werden. Ich verstehe, dass es für die Entwickler von Discourse schwierig wäre, an der Behebung dieser Probleme zu arbeiten. Ich habe nur versucht zu verstehen, ob es eine Möglichkeit gibt zu überprüfen, ob das „Upgrade“ ein Problem verursacht oder nicht, da ich vermutete, dass einige Abhängigkeiten Probleme möglicherweise nur in bestimmten Code-Pfaden verursachen.