Hex v2.5.0 released

Hex v2.5.0, the Elixir package manager, introduces organization-defined dependency policies allowing organizations to filter package versions during resolution based on security advisories, retirement reasons, or release age. A new configurable release-age cooldown helps mitigate supply-chain attacks by withholding freshly published packages until they reach a minimum age. The release also adds security advisory warnings during deps.get/update, a new mix hex.search command for documentation search, JSON output for mix hex.outdated, and several bug fixes. Authentication deprecations signal a move toward user-based and short-lived token auth for organization repositories.

Nguồn: https://elixirforum.com/t/hex-v2-5-0-released/75828. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.

Đề xuất cho bạn

daniel.haxx.se17 phút9 giờ trướcAI

Do excellent vulnerability reports

Bài viết hướng dẫn cách viết báo cáo lỗ hổng bảo mật (vulnerability reports) chất lượng cao cho các dự án nguồn mở, do người duy trì dự án curl chia sẻ. Các khuyến nghị chính gồm: viết đoạn giới thiệu rõ ràng, cung cấp mã tái hiện lỗi (reproducer) độc lập, gửi kèm bản vá (patch) nếu có thể, chỉ rõ phiên bản bị ảnh hưởng, tuân thủ kênh gửi báo cáo ưu tiên của dự án và sẵn sàng hợp tác trong suốt quá trình. Ngoài ra, bài viết cũng đề cập cách thức viết advisory bảo mật và nhấn mạnh tôn trọng thời gian hạn chế của các maintainer tình nguyện.

Lập trình viên nên đọc bài này để cải thiện chất lượng báo cáo lỗ hổng cho các dự án mở nguồn, tránh gây khó khăn cho các maintainer và tăng cơ hội được giải quyết nhanh chóng.

#security