又给开源社区添麻烦了
我平时用 oauth2-proxy 在团队内暴露一些单页应用,这样开发者只需要一个 GitLab
帐号就可以访问 jaeger/linkerd/redisinsight/kubernetes-dashboard
等单页面板。本来是正常的,好死不死我升级了7.0, 然后发现了一个bug. 我不会写
go,但是看了看逻辑很简单,又改了改 ginko 测试就提交上去了。
代码没出问题,但是我不该公开的提交漏洞代码。其实他 GitHub
首页上有明确说该怎么私下提交安全修复,但我没仔细看,也缺乏这方面安全意识。开发者看到以后赶紧修改了我的 issue
和 PR 的标题和内容,然后敦促我快去掉我提交的代码。
然后就被拉进了一个不公开的仓库,看到一堆安全相关的按钮和组件,非常懵。我也不懂什么是 CVE. 最后代码没被合并,还惹的一身尴尬。
尴尬现场:
https://github.com/oauth2-proxy/oauth2-proxy/security/advisories/GHSA-652x-m2gr-hppm