文档 Grafana Loki 社区 维护 发布 Grafana Loki 修补漏洞

修补漏洞

此步骤修补 Grafana Loki 二进制文件和 Docker 镜像中的漏洞。

开始之前

1. 确定 VERSION_PREFIX。

漏洞主要来自两个来源。

1. Grafana Loki 源码。

2. Grafana Loki 依赖项。

Grafana Loki 依赖项可能是：

1. go.mod 中的 Go 依赖项

2. Go 编译器本身

3. Grafana Loki Docker 依赖项，例如基础镜像

在开始修补漏洞之前，了解您正在修补什么。它可能来自上述一个或多个来源。请使用 #security-go、#security Slack 频道进行澄清。

步骤

1. 修补 Grafana Loki 源码。

   意味着 Grafana Loki 源码本身存在漏洞。

   1. 在 main 分支上修补

   2. 回移植到 release-$VERSION_PREFIX 分支。

2. 修补 Go 依赖项。

   1. 选择所有需要修补的 Go 依赖项。

   2. 检查 dependabot 是否已修补该依赖项或是否有打开的 PR 用于修补。如果没有，请在 main 分支上手动升级包，如下所示。

      shell 复制

      go get -u -v <package-path>@<patched-version>
      go mod tidy
      go mod vendor

   3. 回移植到 release-$VERSION_PREFIX 分支。

   4. 对每个 Go 依赖项重复此操作

3. 修补 Go 编译器.

4. 修补 Grafana Loki Docker 依赖项，例如：Alpine Linux 基础镜像)。

   1. 更新 Docker 镜像版本。示例 PR。

   2. 回移植到 release-$VERSION_PREFIX 分支