Nodemailer-mailgun-transport: ネットマスクプラグインに重大度の高い脆弱性

ねえ、私はpackage-lock.jsonにパッチを当てて、脆弱性のないバージョンのネットマスクを使用しようとしました-うまくいったと思いますか？ あなたが今見ているものを教えてください:)

クリーンチェックアウトで修正されたようです+ npm install

yarn auditを介して本番プロジェクトでまだ見ていますが、まだ公開されていないようです

NPMに発表された@anachronic I 2.0.3 - https://www.npmjs.com/package/nodemailer-mailgun-transport

どうやらnodemailer-mailgun-transportidは、現在は非公式のmailgunライブラリを使用していますか？ これは「公式」バージョンへの簡単な交換ですか？ 適切な依存関係は「mailgun.js」である必要があるようです。そうすれば、セキュリティの脆弱性が軽減されます（そして、将来の問題に役立つことを願っています）。 ここでの議論： https ：

ええ、依存関係を変更して、公式ライブラリに使用されるコードのコードビットを書き直すだけです。
公式プラグイン： https ：
非推奨のプラグイン： https ：//www.npmjs.com/package/mailgun-js（mailgunドキュメントで参照されているため、混乱が生じます）

公式は... require（ 'mailgun-js'）ではなく '... require =（' mailgun.js）を使用します

疲れましたが、それがtldrであったことを願っています

@zhyrinは、誰かがコードの書き換えがどれだけ必要かを確認するために調査を行う必要があると推測しています

興味がない

@zhyrinは、誰かがコードの書き換えがどれだけ必要かを確認するために調査を行う必要があると推測しています

＃104はこれに対する修正ではありませんか？

興味がない

すごい！ 少なくともあなたはオープンソースがどのように好きかについて正直です

＃104はこれに対する修正ではありませんか？

私が見てみましょう

メールガンの最新バージョンはまだ脆弱であるように見えますか？ https://snyk.io/advisor/npm-package/mailgun-js

@omerlhもう1つにアップグレードしました-その1つは非推奨です

どれ？ 最新バージョンはまだ脆弱であることがわかります： https ：

これはmaster（＃104を参照）で解決されると思いますが、2.0.3（最後に公開されたバージョン）は修正前の最後のコミットを指しているようです。

よくわかりませんが、新しいバージョンを公開することでこれが解決するのではないでしょうか。

@orliesaurusは、我々は@anachronicの点に基づいて新しいリリースを得ることができますか？

ええ、私は間違いなくマスターにあるアップデートをプッシュする必要があります！ みんなありがとう！

このバージョンのバンプに関するタイムラインはありますか？ 最新バージョンがマスターに更新される前に、このチケットを閉じる必要がありますか？