Open
Conversation
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
1 participant
Add this suggestion to a batch that can be applied as a single commit.This suggestion is invalid because no changes were made to the code.Suggestions cannot be applied while the pull request is closed.Suggestions cannot be applied while viewing a subset of changes.Only one suggestion per line can be applied in a batch.Add this suggestion to a batch that can be applied as a single commit.Applying suggestions on deleted lines is not supported.You must change the existing code in this line in order to create a valid suggestion.Outdated suggestions cannot be applied.This suggestion has been applied or marked resolved.Suggestions cannot be applied from pending reviews.Suggestions cannot be applied on multi-line comments.Suggestions cannot be applied while the pull request is queued to merge.Suggestion cannot be applied right now. Please check back later.
Summary
Ajuste no pipeline de segurança (pip-audit) para lidar com uma vulnerabilidade conhecida (CVE-2026-4539) no pacote
pygments, atualmente sem versão corrigida disponível upstream.O pipeline estava falhando devido ao uso de
--strict, que força erro em qualquer vulnerabilidade detectada. No entanto, como a CVE identificada ainda não possui patch publicado, não é possível corrigi-la via upgrade de dependências nem viapip-audit --fix.A solução aplicada foi adicionar a flag
--ignore-vuln CVE-2026-4539nos comandos de auditoria, permitindo que o pipeline continue bloqueando novas vulnerabilidades, enquanto ignora explicitamente esse caso específico até que haja correção oficial.Esse ajuste mantém o rigor de segurança do CI, evitando falsos bloqueios por vulnerabilidades não corrigíveis no momento.
Release metadata
Release note (PT-BR):
Ajuste no pipeline de auditoria de dependências Python para ignorar temporariamente uma vulnerabilidade sem patch disponível, evitando falhas indevidas no CI.
Release note (EN):
Adjusted Python dependency audit pipeline to temporarily ignore a vulnerability without an available patch, preventing unnecessary CI failures.
Release highlights (PT-BR, bullets with
|):Melhoria na estabilidade do CI | Manutenção do rigor de segurança | Tratamento explícito de CVE sem patch | Evita falsos negativos em builds
Release highlights (EN, bullets with
|):Improved CI stability | Maintained strict security checks | Explicit handling of unpatched CVE | Prevents false build failures
Included pattern IDs (comma-separated, or
none):none
Technical changes (PT-BR, bullets with
|):Adição da flag
--ignore-vuln CVE-2026-4539no pip-audit | Manutenção do uso de--strictpara outras vulnerabilidades | Documentação do workaround temporário no pipeline | Preservação da verificação automatizada de segurançaTechnical changes (EN, bullets with
|):Added
--ignore-vuln CVE-2026-4539flag to pip-audit | Retained--strictfor all other vulnerabilities | Documented temporary workaround in pipeline | Preserved automated security checksChange type (choose one release label from taxonomy):
release:majorrelease:featurerelease:patternsrelease:apirelease:datarelease:privacyrelease:fixrelease:infrarelease:securityBreaking change?
Validation
Public safety and compliance checklist
PUBLIC_MODEbehavior was reviewed (if relevant)docs/release/public_boundary_matrix.csvRisk and rollback
Riscos:
pygmentsenquanto não houver patch disponível (baixo risco, dependendo do uso da lib).Mitigação:
Rollback:
--ignore-vuln CVE-2026-4539dos comandos de audit.