Skip to content

fix(security): bump crossbeam-epoch 0.9.18 → 0.9.20 (RUSTSEC-2026-0204)#224

Merged
danzeroum merged 1 commit into
mainfrom
claude/fix-cargo-audit-crossbeam
Jul 15, 2026
Merged

fix(security): bump crossbeam-epoch 0.9.18 → 0.9.20 (RUSTSEC-2026-0204)#224
danzeroum merged 1 commit into
mainfrom
claude/fix-cargo-audit-crossbeam

Conversation

@danzeroum

Copy link
Copy Markdown
Owner

Objetivo

Corrigir a única barreira vermelha do CI: o job Dependency audit — cargo audit (.github/workflows/lint-guards.yml).

Diagnóstico

O log do cargo audit reportava 1 vulnerabilidade (exit 1) e 2 warnings:

Crate:    crossbeam-epoch
Version:  0.9.18
Title:    Invalid pointer dereference in `fmt::Pointer` impl for `Atomic`/`Shared`
ID:       RUSTSEC-2026-0204
Solution: Upgrade to >=0.9.20
error: 1 vulnerability found!
warning: 2 allowed warnings found
  • RUSTSEC-2026-0204 (crossbeam-epoch 0.9.18) é a única vulnerabilidade → causa o exit 1.
  • Os outros dois achados são warnings (não vulnerabilidades) e não falham o cargo audit padrão:
    • bincode 1.3.3 — unmaintained (RUSTSEC-2025-0141)
    • anyhow 1.0.102 — unsound (RUSTSEC-2026-0190)

crossbeam-epoch é uma dependência transitiva; não está na allowlist de rust/.cargo/audit.toml.

Alteração

cargo update -p crossbeam-epoch0.9.18 para 0.9.20 (versão corrigida indicada pelo advisory).

  • Apenas rust/Cargo.lock (2 linhas: versão + checksum).
  • Sem mudança em Cargo.toml, sem mudança de API — bump patch dentro de 0.9.x.
  • rust/.cargo/audit.toml não precisou de alteração.

Verificação

  • cargo update -p crossbeam-epoch --dry-run confirmou 0.9.18 -> 0.9.20.
  • A verificação final de cargo audit (que agora deve sair 0) e do build fica a cargo dos jobs de CI deste PR — o binário cargo-audit não pôde ser executado no ambiente local.

🤖 Generated with Claude Code

https://claude.ai/code/session_019wEuw8HPQaDLGqfFQoNUQ4


Generated by Claude Code

Resolve a única vulnerabilidade que falha o job 'cargo audit' no CI:
invalid pointer dereference no impl fmt::Pointer de Atomic/Shared
(RUSTSEC-2026-0204). Correção do advisory: upgrade para >=0.9.20.

Alteração restrita ao Cargo.lock (dependência transitiva; sem mudança
de Cargo.toml nem de API). Os demais achados do audit (bincode
unmaintained RUSTSEC-2025-0141, anyhow unsound RUSTSEC-2026-0190) são
warnings e não falham o audit padrao.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Claude-Session: https://claude.ai/code/session_019wEuw8HPQaDLGqfFQoNUQ4
@danzeroum danzeroum merged commit ac6ac79 into main Jul 15, 2026
22 checks passed
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

None yet

Projects

None yet

Development

Successfully merging this pull request may close these issues.

2 participants