# Trivy 忽略列表
# 每行一个 CVE ID,带注释说明忽略原因
# 忽略策略:仅忽略经评估确认不影响生产环境的漏洞
# 定期复审:每 30 天由 security-team 复审一次

# CVE-2023-26136: tough-cookie 原型污染,Next.js 运行时未直接使用该 API,仅间接依赖
CVE-2023-26136

# CVE-2023-28155: http-proxy SSRF/请求走私,仅开发服务器代理场景,生产环境未启用
CVE-2023-28155

# CVE-2024-4068: braces ReDoS,仅构建时模板编译使用,运行时无不可信输入
CVE-2024-4068
