v0.19 發行版包含一項重要的安全性修正,修正透過鏡像存取 Hex 儲存庫的人員。已發現一個錯誤,使惡意鏡像得以提供 Hex 套件的修改版本。 hex 版本 0.14.0 至 0.18.2 以及 rebar3 版本 3.7.0 至 3.7.5 容易受攻擊。請務必更新至 hex 0.19.0 及 rebar3 3.8.0。
修正包括與登錄格式不相容的變更。所有官方儲存庫及鏡像已更新。如果您使用自己的儲存庫或鏡像,卻未更新登錄,則會與最新 Hex 版本不相容。請確認您執行的是最新軟體,或透過設定環境變數 HEX_NO_VERIFY_REPO_ORIGIN=1,來停用安全性檢查。
將在未來公布安全性漏洞的完整解釋。
此版本也包含對 mix 任務 mix hex.config 與 mix hex.info 的改良,以及其他錯誤修正。若要取得變更的完整清單,請查看 發行備註。
最後,我們要歡迎 Todd Resudek 加入 Hex 團隊,成為最新成員。Todd 一直是 Hex 最常貢獻的人,很高興現在能以官方身分請他協助。