search

gruntwork-io / boilerplate

A tool for generating files and folders ("boilerplate") from a set of templates
https://www.gruntwork.io
Mozilla Public License 2.0
157 stars 12 forks source link

Can't pass the trivy scan check #151

Open ozbillwang opened 5 months ago

ozbillwang commented 5 months ago

Not bug or feature.

Need upgrade the lib versions to pass the vulnerabilities scan


usr/local/bin/boilerplate (gobinary)

Total: 5 (HIGH: 5, CRITICAL: 0)

┌────────────────────────┬─────────────────────┬──────────┬────────┬────────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│        Library         │    Vulnerability    │ Severity │ Status │         Installed Version          │           Fixed Version           │                            Title                             │
├────────────────────────┼─────────────────────┼──────────┼────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net       │ CVE-2022-27664      │ HIGH     │ fixed  │ v0.0.0-20211112202133-69e39bad7dc2 │ 0.0.0-20220906165146-f3363e06e74c │ golang: net/http: handle server errors after sending GOAWAY  │
│                        │                     │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-27664                   │
│                        ├─────────────────────┤          │        │                                    ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-41723      │          │        │                                    │ 0.7.0                             │ net/http, golang.org/x/net/http2: avoid quadratic complexity │
│                        │                     │          │        │                                    │                                   │ in HPACK decoding                                            │
│                        │                     │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-41723                   │
│                        ├─────────────────────┤          │        │                                    ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                        │ CVE-2023-39325      │          │        │                                    │ 0.17.0                            │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                        │                     │          │        │                                    │                                   │ excessive work (CVE-2023-44487)                              │
│                        │                     │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├────────────────────────┼─────────────────────┤          │        ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text      │ CVE-2022-32149      │          │        │ v0.3.7                             │ 0.3.8                             │ golang: golang.org/x/text/language: ParseAcceptLanguage      │
│                        │                     │          │        │                                    │                                   │ takes a long time to parse complex tags                      │
│                        │                     │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-32149                   │
├────────────────────────┼─────────────────────┤          │        ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/grpc │ GHSA-m425-mq94-257g │          │        │ v1.38.0                            │ 1.56.3, 1.57.1, 1.58.3            │ gRPC-Go HTTP/2 Rapid Reset vulnerability                     │
│                        │                     │          │        │                                    │                                   │ https://github.com/advisories/GHSA-m425-mq94-257g            │
└────────────────────────┴─────────────────────┴──────────┴────────┴────────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘