v0.19 版本包含一个重要的安全修复,用于通过镜像访问 Hex 仓库的任何用户。已发现一个漏洞,可能允许恶意镜像提供修改后的 Hex 软件包版本。 hex 版本 0.14.0 到 0.18.2 和 rebar3 版本 3.7.0 到 3.7.5 存在漏洞。请确保更新到 hex 0.19.0 和 rebar3 3.8.0。
此修复包含对注册表格式的向后不兼容更改。所有官方仓库和镜像均已更新。如果您使用自己的仓库或镜像,并且没有更新注册表,则它将与最新 Hex 版本不兼容。请确保您正在运行最新软件或通过设置环境变量 HEX_NO_VERIFY_REPO_ORIGIN=1 禁用安全检查。
有关安全漏洞的完整解释将在将来发布。
此版本还包含对 mix 任务 mix hex.config 和 mix hex.info 的改进,以及其他错误修复。要查看完整的更改列表,请查看 发行说明。
最后,我们很高兴欢迎 Todd Resudek 加入 Hex 团队。Todd 一直是 Hex 最常出现的贡献者之一,现在很高兴他能以官方身份做出贡献。