TWSNMP FCの脆弱性対策
今朝は4時半から開発開始です。
昨日見つけたTWSNMP FCの脆弱性の対策です。
書いてあるコマンドを実行して細かく確認していきます。
一つ目は
GO言語のWebフレームワークのechoパッケージが古いようです。
2つ目は、
opensslのパッケージが古いようです。TWSNMP FCではopenssl使っていませんが、DockerイメージのベースにしているAlpine Linuxに含まれるopensslのことを指摘しています。 Alpine Linuxを更新すればよいようです。
3つ目は、
GO言語の標準ライブラリの問題のようです。GO言語を更新します。
4つ目(最後)は
GO言語のnetパッケージの問題のようです。
Alpine Linuxのベースイメージ、GO言語、echoパッケージを最新に更新するだけで解決できました。
脆弱性対策したDockerイメージを公開しました。
ついでに、Web画面(フロントエンド)で使っているJavaScriptのパッケージの脆弱性も対応しようと思いました。
npm auditというコマンドで確認できます。
highが11ありますが、これを解決するためには、breaking chnageを含んだパッケージの更新が必要です。これをやると壊滅的な問題が起こるかもしれないので、安全なほうの
npm audit fixだけ試してみたところ、glパッケージのビルドエラーで失敗するため、今朝は諦めました。夏休みにじっくり考えようと思います。
助手の猫が天から
「プログラマー探偵の出番では?」
と言っています。
明日に続く
いいなと思ったら応援しよう!
