snyk
は、依存関係の1つであるlodash 4.17.5
に正規表現のサービス拒否の脆弱性を報告します。
✗ Medium severity vulnerability found in lodash
Description: Regular Expression Denial of Service (ReDoS)
Info: https://snyk.io/vuln/SNYK-JS-LODASH-73639
Introduced through: [email protected]
From: [email protected] > [email protected]
Remediation:
Your dependencies are out of date, otherwise you would be using a newer version of lodash.
Try deleting node_modules, reinstalling and running `snyk test` again. If the problem persists, one of your dependencies may be bundling outdated modules.
と
Analyzing npm dependencies for package.json
Querying vulnerabilities database...
Tested 255 dependencies for known vulnerabilities, found 3 vulnerabilities, 23 vulnerable paths.
? 2 vulnerabilities introduced via [email protected]
- info: https://snyk.io/package/npm/async/2.6.1
前もって感謝します!
バンプ
その方法は使用しないため、適用されません。 でlodashを削除しました
v3.0。 その未成年者から移行するためのいくつかの問題があったと思います
Asyncの2.x行にあるlodashのバージョン。
2019年2月8日金曜日、午前2:12 Daniel Scalzi < [email protected]は次のように書いています。
バンプ
—
このスレッドにサブスクライブしているため、これを受け取っています。
このメールに直接返信し、GitHubで表示してください
https://github.com/caolan/async/issues/1620#issuecomment-461784127 、またはミュート
スレッド
https://github.com/notifications/unsubscribe-auth/AAiEbmULsTIq6AwY5RHZJNcM60O1Lw7tks5vLWmygaJpZM4ah0sH
。
簡単なパッチアップデートでうまくいくと思います。
または、v3.0.0をnpmでlatest
として設定します。これは、現在はnext
であり、 npm outdated
には表示されないためです。
lodashの更新は問題ありませんでした。更新とともに、v2.6.2を公開しました。
最も参考になるコメント
lodashの更新は問題ありませんでした。更新とともに、v2.6.2を公開しました。