gpt4 book ai didi

github - Dependabot 无法创建拉取请求,因为一个或多个其他依赖项需要与此更新不兼容的版本

转载 作者:行者123 更新时间:2023-12-03 23:04:52 27 4
gpt4 key购买 nike

在我今天的一个存储库中,我收到了以下安全通知:

The kramdown gem before 2.3.0 for Ruby processes the template option inside Kramdown documents by default, which allows unintended read access (such as template="/etc/passwd") or unintended embedded Ruby code execution (such as a string that begins with template=" string://<%= `).

NOTE: kramdown is used in Jekyll, GitLab Pages, GitHub Pages, and Thredded Forum.
我尝试创建一个dependabot 安全更新,但它无法更新到所需的版本。
如何解决这个问题?

最佳答案

本周我在几个存储库中遇到了同样的问题。他们都使用 GitHub 页面生成静态站点,因此 JSON 漏洞可能无关紧要。但是,如果您可以升级远离易受攻击的 kramdown 版本,那就更容易了。
我的存储库的问题在于它们使用的是 github-pages gem 的版本早于 207。那些需要 kramdown 的易受攻击版本,因此 Dependabot 不会触及它。我不知道为什么 Dependabot 无法更新 github-pages .
为了解决它,我使用了 bundle update --all command . bundle update github-pages也有效,虽然在我的项目中它有相同的结果。它安装了一堆更新,并将它们记录在 Gemfile.lock 中。文件。当我提交更改时,GitHub 上的安全通知消失了。

关于github - Dependabot 无法创建拉取请求,因为一个或多个其他依赖项需要与此更新不兼容的版本,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63314014/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com