Disculpe por no haber sido claro.
Nuestro proceso de compilación actual comienza con la imagen base de Discourse mencionada en el mensaje anterior y luego ejecuta un script, que es solo el paso de arranque del proceso de instalación compatible (el script del lanzador), pero sin ejecutar los pasos que requieren una conexión activa a Redis/base de datos.
Por lo tanto, el paso de arranque, supongo, instala todas las dependencias de Ruby y las dependencias de npm de Discourse. Las versiones que aparecen en la lista de vulnerabilidades son, en su mayoría, dependencias de la propia aplicación de Discourse.
También investigué un poco y descubrí que las dependencias de Golang que etiqueta provienen de una dependencia de npm llamada esbuild, que se compila usando Golang. La versión de Go que utiliza tiene una vulnerabilidad en la biblioteca estándar, que está siendo etiquetada. Por lo tanto, creo que resolver esto requeriría una recompilación de esa biblioteca, por lo que no estoy seguro de si vale la pena el esfuerzo.
Pero las otras vulnerabilidades son dependencias directas de Ruby/npm o dependencias transitivas de Discourse. Mi pregunta era principalmente sobre la actualización de las versiones de esas, justo antes de instalarlas. Entiendo que sería difícil para los desarrolladores de Discourse trabajar en la solución de esas. Solo estaba tratando de entender si había una manera de verificar si la “actualización” causa un problema o no, ya que supuse que algunas dependencias podrían causar problemas solo en ciertas rutas de código.