Closed mbdaso closed 4 years ago
jesustorresdev
commented
5 years ago En un caso así normalmente no se cambia el Pipfile. Se fuerza le nueva con pip y se sincroniza el Pipfile.lock para que guarde la versión de la información. EL Pipfile seguria diciendo que la versión da igual desde el punto del vista del código.
jesustorresdev
commented
4 years ago Llego el update automática de github. Fíjate que lo que hace es lo que yo decía, actualizar el Pipfile.lock que es donde se indica la versión para producción:
https://github.com/aplatanado/slack-badges-bot/pull/25/files
jesustorresdev
commented
4 years ago Integrados los cambios + solución de #25.
GitHub ha enviado una alerta de seguridad porque hay una vulnerabilidad en las versiones de pillow < 6.2, la versión que estaba instalada en el servidor era la 6.1, la he actualizado.
Esta es la vulnerabilidad: https://nvd.nist.gov/vuln/detail/CVE-2019-16865
Entiendo que la idea de Pipenv era olvidarse de las versiones de los paquetes y dejar que las resolviera, este caso sería una excepción ?
Saludos!