DriftGuard 扫描发现 GitHub 仓库依赖中存在高危 CVE 漏洞

DriftGuard 安全扫描器在一处 GitHub 代码仓库的依赖关系中，发现了一个被评定为“高危”级别的通用漏洞披露（CVE）。该漏洞的通用漏洞评分系统（CVSS）分数大于等于 7，对依赖该开源组件的项目构成了直接的安全风险。此次扫描覆盖了 Go 语言生态系统，并基于 OSV 数据库的权威漏洞信息，表明该风险并非误报，而是需要立即关注的真实威胁。

具体而言，漏洞涉及 `github.com/docker/docker` 包的第 28.5.2 版本。该漏洞被标记为三个独立的标识符：`GHSA-x744-4wpc-v9h2`、`GHSA-pxq6-2prw-chj9` 和 `GO-2026-4883`，均指向同一个高风险安全问题。扫描报告明确指出，修复方案是升级到 2.0 或更高版本。该仓库因近期有推送、启用了 Issues 功能、存在未关闭的问题、拥有超过 100 个星标且是原始仓库，被 DriftGuard 以 100/100 的信号评分精准定位，凸显了其活跃度和潜在影响范围。

此次发现将相关开源项目维护者和使用者置于安全压力之下。依赖图中存在未修复的高危 CVE，意味着任何基于此构建的应用都可能暴露在攻击风险之中。对于企业开发团队而言，这触发了紧急的漏洞修复流程；对于开源社区，则是对依赖管理和安全响应速度的一次检验。DriftGuard 将风险评分定为 4.0/10，其中“立即行动”项为 1，表明至少有一个漏洞需要优先处理，这为资源分配和修复优先级提供了明确指引。