我的应用程序使用go-git库,最近我注意到CVE-2022-23521,CVE-2022-41903中关于git的问题。
我想知道这些问题是否会影响go-git(https://github.com/go-git/go-git)。
这是对围棋的描述。
go-git是一个用纯Go语言编写的高度可扩展的git实现库。
但是我不能完全理解“git实现”的含义。
我认为1)git是VCS,2)go-git以VCS的形式实现git的功能,3)CVE问题只与git cli工具(https://github.com/git/git)有关,与go-git无关。
我的想法是对的?
1条答案
按热度按时间mbjcgjjk1#
虽然CVE-2022-23521和CVE-2022-41903都特定于
git/git(原始C实现),但最好尝试并复制该漏洞攻击场景,以确认go-git不受影响。如
go-gitPR 620所示(“更新依赖项以删除供应链CVE”),go-git易受自身安全问题的影响,如已知的供应链CVE。