Go-Resty v2.13.1 依赖库 golang.org/x/net 曝出两个安全漏洞，最高严重性 5.3

Go 语言流行 HTTP 客户端库 Go-Resty 的 v2.13.1 版本，其核心依赖项 `golang.org/x/net` 被检出两个安全漏洞，最高严重性评分为 5.3（中等）。该漏洞通过自动化安全扫描在项目 `aigency-v1.0.0` 的代码库中被发现，直接影响路径为 `/home/wss-scanner/go/pkg/mod/cache/download/golang.org/x/net/@v/v0.25.0.mod`。这表明任何使用此特定版本 Go-Resty 的项目，都可能无意中引入了上游依赖的安全风险。

漏洞详情指向 `golang.org/x/net` 库，这是 Go 语言网络编程的基础组件，被 Go-Resty 广泛使用。其中一个已标识的漏洞为 CVE-2024-45338。虽然漏洞的具体技术细节未在本次报告中完全披露，但 CVSS 5.3 的评分表明其存在可利用性，可能导致信息泄露、服务中断或其他安全影响。发现该问题的提交记录指向一个 AI 代理框架的原型项目，凸显了在快速发展的 AI 和微服务架构中，第三方依赖管理已成为关键的安全短板。

此事件对依赖 Go-Resty 构建生产系统的开发者与运维团队构成直接压力。尽管漏洞严重性并非最高级别，但其存在于如此基础且广泛使用的网络库中，扩大了潜在的攻击面。团队需要立即审查其 `go.mod` 文件，确认是否引入了有风险的依赖链，并评估升级到修复版本的必要性。这再次敲响警钟：在云原生和自动化部署成为主流的今天，软件供应链安全已成为不容忽视的持续性挑战。