Mit dem Dependabot hat GitHub Entwicklern ein schönes Werkzeug an die Hand gegeben, um Sicherheitslücken in Abhängigkeiten zu identifizieren und zu schließen.
Gestern bekam ich eine solche eMail von GitHub, mit dem Verweis auf Probleme in golang.org/x/net. Da das Modul-System von Golang für mich allerdings immer noch ein wenig verwirrend ist, habe ich ein paar Anläufe benötigt, um das Problem zu lösen.
Am Ende ist es natürlich einfach, daher hier kurz die Schritte, die mich zur Problemlösung geführt haben:
go get <Modulname>
go mod tiny
git commit go.mod go.sum
Der erste Schritt holt die neue Version des Moduls.
Der zweite Schritt aktualisiert die Modul-Abhängigkeiten bzw. räumt go.mod und go.sum auf.
Im dritten und letzten Schritt commiten wir die neuen Moduldateien (go.mod, go.sum). Danach sollte der Dependabot zufrieden sein.