关键信息摘要 1. Commit信息 Commit ID: 3bddec7 提交者: jaredallard 提交时间: 2023年3月28日 提交说明: 更新依赖项(stencil-golang v1.6.0),提取独立模块 版本: v1.0.1 2. 更改的文件 11个文件受影响 代码行变更: +90 -52 3. 关键更改点 .cliff.toml - 更新了PR链接生成方式 .gitattributes - 添加了新的生成文件规则 .github/workflows/tests.yml - 更新了golangci-lint的版本到v7 - 添加了Environment变量设置 .golangci.yml - 更新了linter设置 - 调整了linter规则,增加了行长限制 .mise.toml - 更新了golangci-lint和gorelease的版本 extractor.go - 添加了字符串包的导入 - 添加了函数 ,用于防止Zip Slip漏洞(参考安全问题#324) - 更新了文件路径处理逻辑 4. 安全相关 Zip Slip漏洞防护 - 在 中引入了 函数,以防止Zip Slip攻击。 - 参考了安全问题#324。 5. 其他细节 依赖项更新 - 更新了多个工具和库的版本,如golangci-lint、goimports等。 总结 该提交主要涉及依赖项的更新、代码质量检查工具的升级以及安全漏洞的修复(Zip Slip)。需要特别关注 函数的实现,以确保文件路径处理的安全性。