Closed mbdaso closed 4 years ago
En un caso así normalmente no se cambia el Pipfile. Se fuerza le nueva con pip y se sincroniza el Pipfile.lock para que guarde la versión de la información. EL Pipfile seguria diciendo que la versión da igual desde el punto del vista del código.
Llego el update automática de github. Fíjate que lo que hace es lo que yo decía, actualizar el Pipfile.lock que es donde se indica la versión para producción:
https://github.com/aplatanado/slack-badges-bot/pull/25/files
Integrados los cambios + solución de #25.
GitHub ha enviado una alerta de seguridad porque hay una vulnerabilidad en las versiones de pillow < 6.2, la versión que estaba instalada en el servidor era la 6.1, la he actualizado.
Esta es la vulnerabilidad: https://nvd.nist.gov/vuln/detail/CVE-2019-16865
Entiendo que la idea de Pipenv era olvidarse de las versiones de los paquetes y dejar que las resolviera, este caso sería una excepción ?
Saludos!