Desculpe pela falta de clareza.
Nosso processo de build atual começa com a imagem base do discourse mencionada na mensagem anterior e, em seguida, executa um script, que é apenas a etapa de bootstrap do processo de instalação suportado (o script do launcher), mas sem executar as etapas que exigem uma conexão ativa com o redis/db.
Portanto, a etapa de bootstrap, presumo, instala todas as dependências ruby e as dependências npm do discourse. As versões que aparecem na lista de vulnerabilidades são, em sua maioria, dependências do próprio aplicativo discourse.
Também investiguei um pouco e descobri que as dependências do golang que ele está marcando vêm de uma dependência npm chamada esbuild, que é construída usando golang. A versão do go que ele usa tem uma vulnerabilidade na biblioteca padrão, que está sendo marcada. Portanto, acho que resolver isso exigiria uma recompilação dessa biblioteca, então não tenho certeza se vale a pena o esforço.
Mas as outras vulnerabilidades são dependências ruby/npm diretas ou dependências transitivas do discourse. Minha pergunta era principalmente sobre a atualização das versões dessas dependências, pouco antes de instalá-las. Entendo que seria difícil para os desenvolvedores do discourse trabalhar na correção delas. Eu estava apenas tentando entender se havia uma maneira de verificar se o “upgrade” causa algum problema ou não, pois minha suposição era que algumas dependências poderiam causar problemas apenas em certos caminhos de código.