egg-bin icon indicating copy to clipboard operation
egg-bin copied to clipboard
verified publisher icon eggjs

openSCA对框架依赖扫描结果中的漏洞问题

Open LinhoonYu opened this issue 1 year ago • 5 comments

微信图片_20240603094656 首先非常感谢大佬前几天帮忙解决了egg-security中的间接依赖项的版本漏洞问题,目前项目在openSCA扫描结果中还存在5个间接依赖问题,不太好解决,还请大佬帮忙升级一下间接依赖:

  1. socket.io-parser:[egg-socket.io:4.1.6]/[socket.io:2.5.0]/[socket.io-client:2.5.0]/[socket.io-parser:3.3.3]]
  2. engine.io:[egg-socket.io:4.1.6]/[socket.io:2.5.0]/[engine.io:3.6.1]]
  3. semver:[egg:3.22.0]/[egg-cluster:2.2.1]/[semver:5.7.2]]
  4. serialize-javascript: [egg-bin:5.17.1]/[mocha:10.2.0]/[serialize-javascript:6.0.0]]
  5. debug: [egg-socket.io:4.1.6]/[socket.io:2.5.0]/[debug:4.1.1]]
  • 其中三项属于egg-socket.io下的socket.io依赖的问题,能否提高socket.io版本,如果担心已有项目会受影响,是否可以提供一个5版本以上的egg-socket.io并在其中使用高版本的socket.io,可供使用

LinhoonYu avatar Jun 03 '24 01:06 LinhoonYu

可以去给 egg-socket.io 提 pr 吧,这个插件我没有使用场景,目前没法参与维护。

fengmk2 avatar Jun 03 '24 02:06 fengmk2

mocha 只用于单测环境,可以忽略。

fengmk2 avatar Jun 03 '24 02:06 fengmk2

mocha 只用于单测环境,可以忽略。

第三条semver能解决吗

LinhoonYu avatar Jun 03 '24 02:06 LinhoonYu

https://github.com/npm/node-semver/blob/main/CHANGELOG.md#60 看起来可以的,我提交一个 pr

fengmk2 avatar Jun 03 '24 02:06 fengmk2

https://github.com/npm/node-semver/blob/main/CHANGELOG.md#60 看起来可以的,我提交一个 pr 感谢大佬

LinhoonYu avatar Jun 03 '24 02:06 LinhoonYu