Dependency Management

• Go 1.21 で go.mod のバージョン指定がパッチ番号を含めるようになり、誤った最小バージョン強制が発生している.
• この設定はライブラリ導入プロジェクトに強制的な Go バージョン上限となり、開発者の選択を奪う Viral な問題である.
• Go コミッターはデフォルトで最新バージョンを推奨するが、これは最小バージョン指定との文脈から誤りであり修正が必要とされている.

ライブラリ作者による不十分なバージョン指定が、依存チェーン全体に開発者体験の悪化や技術的制約を広範囲に及ぼすため.

• SHA ピンによる依存管理の脆弱性が、Trivy の不正コード挿入インシデントによって浮き彫りになり、業界推奨アプローチへの疑問を投げかけられています。
• GitHub Actions はコミット SHA に基づく解決時にフォークからのオブジェクトも許可し、オーナーやレポジトリ名が明示されていてもセキュリティリスクが拡大していることが実証されました。
• コンテンツアドレスベースの SHAs の無制限な信頼は「セキュリティシアタ」に過ぎず、より堅牢な provenance チェックと人間可読性の高いタグ管理が必要です。

SHA ピンが提供される不透明な保証が、フォーク攻撃を招き依存関係の制御不能リスクを高めるという根本的な設計缺陷が浮き彫りになったためです。