发现源码中
许可协议 MIT License
组件名称PyYAML5.1中有安全漏洞,这个能不能修复呢?
1 个赞
您好,PyYAML==5.1 只是测试代码中的引用,分发出去的代码包中并不包含它,如果您在测试合规,可以解释一下。
另外,也欢迎您来贡献 PR 修改 nebula-graph/requirements.txt at master · vesoft-inc/nebula-graph · GitHub ,到没有被检测的漏洞的兼容版本哦。
请问方便提供漏洞 CVE、或者其他相关信息么?
1 个赞
CVE-2017-18342,CVE-2020-1747,CVE-2020-14343,CVE-2019-20477,组件推荐升级版本:5.3.1-5
1 个赞
您好,问一下这个MIT License许可协议能解决吗?扫描不通过,风险等级高危
请问 MIT License 意思是某一个 upstream 是 MIT 么?请问是哪一个?还是指的就是 PyYaml 么?
另外,有一个情况跟您说一下 nebula-graph 这个(还有nebula-storage, nebula-common) repo 我们会 在 2.5.0 发布之后 archive,切换回 nebula 这个分拆之前的单一 repo,这个 PyYAML CVE 的 PR 将在新的repo 合并修复。再就是它不是运行在分发的包里的依赖,不应该影响到部署后软件的哈。
您好,PyYAML:5.1 ,pytest-yapf3:0.5.1,pytest-reportlog:0.1.0,pytest:5.3.2,pytest-xdist:1.31.0,pytest-drop-dup-tests:0.3.0,这几个组件都存在MIT许可协议问题。还有一个问题请教您,就是我们是通过rpm安装得2.0.1,这里边存在这些安全隐患吗?存在这些组件漏洞吗?打算上生产,但是安全扫描必须过,根据您之前描述,在和您确定一下这个问题,辛苦您,谢谢
rpm 的包里只有 nebula graph core 的二进制(CPP编译)和启动脚本(shell),完全没有这些开发测试才会涉及的 PyYAML/pytest* 的包,PyYAML/PyTest 的漏洞 不存在于 RPM 分发包里。
Ok,谢了
1 个赞
PyYAML 的 PR 昨天 Merged 了。
该话题在最后一个回复创建后7天后自动关闭。不再允许新的回复。