又给开源社区添麻烦了

我平时用 oauth2-proxy 在团队内暴露一些单页应用，这样开发者只需要一个 GitLab
帐号就可以访问 jaeger/linkerd/redisinsight/kubernetes-dashboard
等单页面板。本来是正常的，好死不死我升级了7.0, 然后发现了一个bug. 我不会写
go，但是看了看逻辑很简单，又改了改 ginko 测试就提交上去了。

代码没出问题，但是我不该公开的提交漏洞代码。其实他 GitHub
首页上有明确说该怎么私下提交安全修复，但我没仔细看，也缺乏这方面安全意识。开发者看到以后赶紧修改了我的 issue
和 PR 的标题和内容，然后敦促我快去掉我提交的代码。

然后就被拉进了一个不公开的仓库，看到一堆安全相关的按钮和组件，非常懵。我也不懂什么是 CVE. 最后代码没被合并，还惹的一身尴尬。

尴尬现场:
https://github.com/oauth2-proxy/oauth2-proxy/security/advisories/GHSA-652x-m2gr-hppm