gleam-lang/gleam

Warn when a vulnerable package version is added as a dependency

Open

#5.725 aberto em 18 de mai. de 2026

Ver no GitHub
 (2 comments) (0 reactions) (0 assignees)Rust (21.417 stars) (960 forks)batch import
help wanted

Description

Hex now contains information on CVEs that we can use to display warnings when used. Let's use this information to display a warning when a newly resolved version of a dependency is vulnerable.

We could also have a command for showing vulnerabilities for the current package versions.

Reference implementation for Elixir: https://github.com/hexpm/hex/pull/1150

Guia do colaborador

Pilha de tecnologia
rust
Domain
securitytooling
Tipo Issue
feature
DifficultyDificuldade de implementação estimada para um novo contribuidor, de 1 para alterações muito pequenas a 5 para trabalho de nível especializado.
4
Tempo estimadoUm intervalo de tempo aproximado para um colaborador experiente investigar, implementar, testar e preparar um pull request.
3-5 days
Status da atividadeQuão disponível o issue aparece agora: novo, ativo, obsoleto, bloqueado ou aguardando entrada do mantenedor.
fresh
ClarityCom que clareza o issue explica a mudança esperada, os critérios de aceitação e a próxima etapa.
clear
Prerequisites
Knowledge of Gleam and HexRust programmingUnderstanding of CVEs
Simpatia para novatosUma pontuação de 1 a 100 que estima o quão acessível este issue é para colaboradores iniciantes.
55
Direção de pesquisa
Examine the reference implementation at hexpm/hex PR #1150 to understand how CVE data is fetched and warnings displayed. Identify the part of Gleam's dependency resolution code that adds new dependencies, likely in the Hex client or compiler source. Add a check for vulnerability data (perhaps from Hex API) and emit a warning when a newly resolved version is vulnerable. Also consider adding a command to show vulnerabilities for current package versions. Look at existing warning patterns in the Gleam source for consistency.