mcube
mcube copied to clipboard
infraboard
微服务工具箱
安装版本1.9.1之后执行mcube执行mcube -v 不显示版本。看到cmd里的root代码,是直接返回help RunE: func(cmd *cobra.Command, args []string) error { return cmd.Help() }, 没有加version的逻辑
您好,有幸看到你的mcube工具集,发现由于windows路径原因无法在windows Git Bash环境执行make pb命令,以下各人的解决方法,已验证有效,请参考! ```makefil MOD_DIR_WINDOWS := $(shell go env GOPATH | sed -e 's/\\\\\(.\)/\/\1/g' | sed 's/://g')/pkg/mod pb_windows: ## Copy mcube protobuf files to common/pb for Windows @mkdir -pv...
$ go install github.com/infraboard/mcube/cmd/mcube@latest go: github.com/infraboard/mcube/cmd/mcube@latest: module github.com/infraboard/mcube@latest found (v1.9.18), but does not contain package github.com/infraboard/mcube/cmd/m cube 这个如何处理
报错信息: `go: apps/book imports github.com/imdario/mergo: github.com/imdario/[email protected]: parsing go.mod: module declares its path as: dario.cat/mergo but was required as: github.com/imdario/mergo ` 原因: 依赖地址变了,原地址:imdario/mergo 现在地址:dario.cat/mergo 需要手动下载`go get dario.cat/mergo` 并修改`apps->book->app.go `文件
Bumps [golang.org/x/text](https://github.com/golang/text) from 0.3.7 to 0.3.8. Commits 434eadc language: reject excessively large Accept-Language strings 23407e7 go.mod: ignore cyclic dependency for tagging b18d3dd secure/precis: replace bytes.Compare with bytes.Equal 795e854 all: replace...
![dependabot[bot] avatar](https://avatars.githubusercontent.com/in/29110?v=4 "dependabot[bot] avatar"){kind=avatar}
tigeryu@mac mcube-2.0.7 % make dep tigeryu@mac mcube-2.0.7 % make install no required module provides package github.com/infraboard/mcube/v2/cmd/mcube; to add it: go get github.com/infraboard/mcube/v2/cmd/mcube make: *** [install] Error 1 tigeryu@mac mcube-2.0.7 %...
Description: 在项目infraboard/mcube中,我发现了一个潜在的安全问题,涉及到TLS配置中证书验证的默认跳过行为。这种配置使得系统容易受到中间人攻击(Man-in-the-Middle Attack),因为TLS连接的加密和认证功能被削弱。 具体来说,在文件github.com/infraboard/mcube/client/rest/tls.go的第24行,当前的实现允许TLS连接默认情况下跳过服务器证书的验证。虽然这可能简化了开发或测试环境的设置,但在生产环境中,这种行为是极其危险的,因为它允许未授权的第三方拦截或篡改传输中的数据。 Solution Suggestion: 为了提高安全性,我建议修改此默认配置,强制进行证书验证。这意味着TLS客户端必须检查服务器提供的证书是否有效,包括验证其是否由受信任的证书颁发机构签发,以及证书的公钥是否与服务器声称的身份相匹配。这样可以确保与远程服务之间的通信是加密且经过身份验证的,从而保护数据的完整性和机密性。 Additional Context: 在现代互联网应用中,TLS证书验证是维护网络通信安全的基础。绕过这一机制不仅违反了最佳实践,也可能导致严重的安全漏洞。因此,强烈建议将证书验证设为强制性的,并提供明确的文档说明如何在必要时(如在可控的测试环境中)禁用此功能。 此外在mcube/crypto/cbc/cbc.go中,sha1Hash2 (key []byte) []byte只有32位的校验位,略少,sha1算法也有一些弱,使用cbc模式存在侧信道构造padding oracle攻击的风险,可能会导致密钥泄露,如果想要实现认证加密可以考虑使用aes-gcm,现在tls1.2中已经不推荐cbc模式的套件使用了
