preact-cli имеет уязвимости высокой степени серьезности, а исправление аудита npm запускается по кругу (3.0.5 <-> 2.2.1)

Question

preact-cli имеет уязвимости высокой степени серьезности, а исправление аудита npm запускается по кругу (3.0.5 <-> 2.2.1)

Я настраиваю предварительный проект с preact-cli:

      npx --version # 7.4.0
npx preact-cli create typescript frontend

Это говорит мне:

      ...
added 1947 packages, and audited 1948 packages in 31s

129 packages are looking for funding
  run `npm fund` for details

3 high severity vulnerabilities

To address all issues (including breaking changes), run:
  npm audit fix --force

Run `npm audit` for details.
✔ Done!

3 уязвимости высокого уровня безопасности после запуска настройки по умолчанию !?
Это звучит не очень обнадеживающе.

      npm audit fix

...
fix available via `npm audit fix --force`
Will install preact-cli@2.2.1, which is a breaking change

Хорошо, очевидно, npm fix хочет понизить версию preact-cli. Давайте тогда:

      npm audit fix --force

...

fix available via `npm audit fix --force`
Will install preact-cli@3.0.5, which is a breaking change
node_modules/preact-cli/node_modules/webpack-dev-server/node_modules/yargs-parser
node_modules/preact-cli/node_modules/yargs-parser
  yargs  4.0.0-alpha1 - 12.0.5 || 14.1.0 || 15.0.0 - 15.2.0
  Depends on vulnerable versions of os-locale
  Depends on vulnerable versions of yargs-parser
  node_modules/preact-cli/node_modules/webpack-dev-server/node_modules/yargs
  node_modules/preact-cli/node_modules/yargs
    preact-cli  1.0.0 - 3.0.0-next.3
    Depends on vulnerable versions of extract-text-webpack-plugin
    Depends on vulnerable versions of url-loader
    Depends on vulnerable versions of yargs
    node_modules/preact-cli
    webpack  2.1.0-beta.8 - 4.0.0-alpha.0
    Depends on vulnerable versions of yargs
    node_modules/preact-cli/node_modules/webpack
      extract-text-webpack-plugin  2.0.0-beta.0 - 3.0.2
      Depends on vulnerable versions of webpack
      node_modules/preact-cli/node_modules/extract-text-webpack-plugin
      webpack-dev-server  2.0.0-beta - 3.10.3
      Depends on vulnerable versions of webpack
      Depends on vulnerable versions of yargs
      node_modules/preact-cli/node_modules/webpack-dev-server

17 vulnerabilities (7 low, 8 moderate, 2 high)

Ах да, при переходе на версию 2.2.1 появляются новые уязвимости. Их можно решить, отменив более раннюю версию и вернувшись к версии 3.0.5.

Это круг, npm audit fix --force просто переключается между версиями preact-cli 3.0.5 и 2.2.1.

Некоторый контекст: похоже, это известная проблема .

1

javascript typescript npm preact preact-cli

Источник

user497600 29 янв '21 в 15:07

1 ответ

Другие вопросы по тегам javascript typescript npm preact preact-cli

user15388164 13 мар '21 в 14:44 2021-03-13 14:44 · Answer 1 · 2021-03-13 14:44

Поздно здесь (уже закрыто в репозитории CLI), но для контекста 2.2.1сейчас несколько лет, а зависимость была во время сборки. Нет никакого риска для зависимостей времени сборки, особенно этой, поскольку она просто существовала, чтобы сообщать об изменениях в размере вашего собранного пакета.

Всегда смотри что npm auditна самом деле жалуется. Если это что-то только во время сборки, вы можете игнорировать это.

preact-cli имеет уязвимости высокой степени серьезности, а исправление аудита npm запускается по кругу (3.0.5 &lt;-&gt; 2.2.1)

1 ответ

preact-cli имеет уязвимости высокой степени серьезности, а исправление аудита npm запускается по кругу (3.0.5 <-> 2.2.1)