同学，您这个项目引入了204个开源组件，存在3个漏洞，辛苦升级一下

[ghost]

检测到 lesismal/arpc 一共引入了204个开源组件，存在3个漏洞

漏洞标题：Buger Jsonparser 安全漏洞
缺陷组件：github.com/buger/jsonparser@v0.0.0-20181115193947-bf1c66bbce23
漏洞编号：CVE-2020-35381
漏洞描述：Buger Jsonparser是Buger个人开发者的一个基于Go语言的用于与json格式数据进行交互的代码库。
jsonparser 1.0.0 存在安全漏洞，该漏洞允许攻击者可利用该漏洞通过GET调用导致拒绝服务。
影响范围：(∞, 1.1.1)
最小修复版本：1.1.1
缺陷组件引入路径：github.com/lesismal/arpc@->github.com/lucas-clemente/quic-go@v0.25.0->github.com/francoispqt/gojay@v1.2.13->github.com/buger/jsonparser@v0.0.0-20181115193947-bf1c66bbce23

另外还有3个漏洞，详细报告：https://mofeisec.com/jr?p=a0ce69

[lesismal]

谢谢反馈，感谢关注和支持！

arpc核心框架部分（arpc, arpc/log, arpc/util, arpc/codec）都是只依赖标准库的，所以我连 go.mod 都是放空的。

arpc/examples和arpc/extension是作为示例和扩展，这其中因为要用到三方的库，比如用gorilla/websocket，或者xtaci/kcp，还有etcd、quic之类的，他们的库会依赖你的安全扫描中提到的那些库。arpc/extension作为扩展，用户需要的话自己拷贝一份直接去改也就可以了。
依赖相关的是需要那些三方自行升级，arpc的核心部分相对比较干净，我刚又扫了一遍，应该是只依赖标准库的，同学你可以删掉examples和extension再扫下试试

[lesismal]

我就是不太希望引入太多第三方那些可能存在风险的库，以免像nodejs那样各种坑人，所以这个库，和我另一个库nbio的核心部分，基本都是只依赖标准库 😂

[lesismal]

看着node社区那些糟心事太闹心了，所以尽量keep clean 😂