TWSNMP FCの脆弱性対策

2023年8月9日 06:51

今朝は４時半から開発開始です。
昨日見つけたTWSNMP FCの脆弱性の対策です。

書いてあるコマンドを実行して細かく確認していきます。
一つ目は

GO言語のWebフレームワークのechoパッケージが古いようです。
２つ目は、

opensslのパッケージが古いようです。TWSNMP FCではopenssl使っていませんが、DockerイメージのベースにしているAlpine Linuxに含まれるopensslのことを指摘しています。 Alpine Linuxを更新すればよいようです。
３つ目は、

GO言語の標準ライブラリの問題のようです。GO言語を更新します。
４つ目（最後）は

GO言語のnetパッケージの問題のようです。
Alpine Linuxのベースイメージ、GO言語、echoパッケージを最新に更新するだけで解決できました。

脆弱性対策したDockerイメージを公開しました。

ついでに、Web画面（フロントエンド）で使っているJavaScriptのパッケージの脆弱性も対応しようと思いました。

npm audit

というコマンドで確認できます。

highが１１ありますが、これを解決するためには、breaking chnageを含んだパッケージの更新が必要です。これをやると壊滅的な問題が起こるかもしれないので、安全なほうの

npm audit fix

だけ試してみたところ、glパッケージのビルドエラーで失敗するため、今朝は諦めました。夏休みにじっくり考えようと思います。
助手の猫が天から
「プログラマー探偵の出番では？」
と言っています。

明日に続く

開発のための諸経費（機材、Appleの開発者、サーバー運用）に利用します。ソフトウェアのマニュアルをnoteの記事で提供しています。サポートによりnoteの運営にも貢献できるのでよろしくお願います。