В моем приложении используется библиотека go-git, и недавно мне стало известно о CVE-2022-23521. , проблемы CVE-2022-41903, связанные с git.
Я хочу знать, влияют ли эти проблемы на go-git (https://github.com/go-git/go-git).
Это описание go-git.
go-git — это расширяемая библиотека реализации git, написанная на чистый Го.
Однако я не могу полностью понять значение «реализации git».
Я думаю, что 1) git — это VCS и 2) go-git реализует функции git как VCS и 3) проблемы с CVE относятся только к инструменту git cli (https://github.com/git/git), а не к go-git .
Мои мысли верны?
Хотя и CVE-2022-23521 , и CVE-2022-41903 специфичны для git/git (исходная реализация C), рекомендуется попытаться воспроизвести сценарий эксплойта, чтобы подтвердить go-git
не затрагивается.
Как показывает go-git PR 620 («Обновите зависимости для удаления CVE цепочки поставок»), go-git уязвим для своего собственного класса проблем безопасности, таких как известные CVE цепочки поставок.
Вы можете думать о "git" как о спецификации, так и о реализации по умолчанию. За исключением того, что «спецификация» на самом деле не записана и является функцией того, что делает реализация по умолчанию. Но он все еще достаточно стабилен, поэтому несколько «реализаций git» обычно могут достаточно хорошо взаимодействовать друг с другом.