gleam-lang/gleam

Warn when a vulnerable package version is added as a dependency

Open

Aperta il 18 mag 2026

Vedi su GitHub
 (2 commenti) (0 reazioni) (0 assegnatari)Rust (21.417 star) (960 fork)batch import
help wanted

Descrizione

Hex now contains information on CVEs that we can use to display warnings when used. Let's use this information to display a warning when a newly resolved version of a dependency is vulnerable.

We could also have a command for showing vulnerabilities for the current package versions.

Reference implementation for Elixir: https://github.com/hexpm/hex/pull/1150

Guida contributor

Tech stack
rustelixir
Dominio
backendsecurity
Tipo issue
feature
DifficoltàQuanto dovrebbe essere impegnativa per un nuovo contributor.
3
Tempo stimatoTempo stimato per completare e verificare uno scope piccolo.
1-2 days
Stato attivitàQuanto è probabile che la issue sia ancora attiva e reviewable.
active
ChiarezzaQuanto chiaramente la issue descrive problema, scope e risultato atteso.
clear
Prerequisiti
GleamRustHex package managerCVEs
Adatta ai principiantiQuanto la issue è adatta a contributor alla prima esperienza.
40
Direzione di ricerca
Esamina come Hex raccoglie e fornisce dati sulle CVE, quindi implementa un avviso nel risolutore di dipendenze di Gleam che controlla le versioni risolte rispetto alle vulnerabilità note.