gleam-lang/gleam

Warn when a vulnerable package version is added as a dependency

Open

#5 725 ouverte le 18 mai 2026

Voir sur GitHub
 (2 commentaires) (0 réactions) (0 assignés)Rust (21 417 stars) (960 forks)batch import
help wanted

Description

Hex now contains information on CVEs that we can use to display warnings when used. Let's use this information to display a warning when a newly resolved version of a dependency is vulnerable.

We could also have a command for showing vulnerabilities for the current package versions.

Reference implementation for Elixir: https://github.com/hexpm/hex/pull/1150

Guide contributeur

Stack technique
rust
Domaine
securitytooling
Type d'issue
feature
DifficultéDifficulté estimée pour un nouveau contributeur, de 1 pour un très petit changement à 5 pour un travail expert.
4
Temps estiméFourchette de temps approximative pour investiguer, implémenter, tester et préparer une pull request.
3-5 days
Statut d'activitéDisponibilité apparente de l'issue : fraîche, active, ancienne, bloquée ou en attente d'un mainteneur.
fresh
ClartéClarté avec laquelle l'issue explique le changement attendu, les critères d'acceptation et la prochaine étape.
clear
Prérequis
Knowledge of Gleam and HexRust programmingUnderstanding of CVEs
Accessibilité débutantScore de 1 à 100 estimant l'accessibilité de cette issue pour un premier contributeur.
55
Direction de recherche
Examine the reference implementation at hexpm/hex PR #1150 to understand how CVE data is fetched and warnings displayed. Identify the part of Gleam's dependency resolution code that adds new dependencies, likely in the Hex client or compiler source. Add a check for vulnerability data (perhaps from Hex API) and emit a warning when a newly resolved version is vulnerable. Also consider adding a command to show vulnerabilities for current package versions. Look at existing warning patterns in the Gleam source for consistency.