Безопасно ли использовать GulpJS 3.9.1 в локальной сети?

Question

Безопасно ли использовать GulpJS 3.9.1 в локальной сети?

Я уже некоторое время использую Gulp и недавно заметил, что при установке или обновлении пакетов появляются предупреждения безопасности. Я запускаю аудит и получаю много информации, но я не уверен, в частности, нужно ли это использовать на производственном сервере или это также относится к локальному серверу.

Я также попытался использовать gulp 4, и это кажется нормальным, но мне было просто любопытно на версии 3.9.1, так как все еще есть некоторые различия.

Я предполагаю, что короткий вопрос - безопасен ли gulp 3.9.1 для использования в локальной среде или это создает проблему безопасности?

1

node.js npm gulp web-development-server npm-audit

Источник

user5790546 06 ноя '18 в 15:42

1 ответ

Другие вопросы по тегам node.js npm gulp web-development-server npm-audit

user865038 08 ноя '18 в 16:59 2018-11-08 16:59 · Answer 1 · 2018-11-08 16:59

Я бы сказал, что это безопасно. Вот мои мысли об обнаруженных уязвимостях:

Есть 4 Высокие уязвимости типа Regular Expression Denial of Service для модуля minimatch. Они в основном связаны с пользовательским вводом, Gulp - просто инструмент сборки, я не понимаю, как это может повлиять на это
Низкая уязвимость типа Prototype Pollution для модуля lodash. Не могу сказать наверняка, но это может повлиять на вас, если вы загрузите в сборку несколько неизвестных внешних модулей, иначе все будет в порядке.

В любом случае, обновление до Gulp 4 должно снять все сомнения.