search

JupiterOne / starbase

Graph-based security analysis for everyone
Mozilla Public License 2.0
337 stars 32 forks source link

npm outdated, yarn audit #102

Open juju4 opened 1 year ago

juju4 commented 1 year ago

https://github.com/juju4/ansible-starbase/actions/runs/5958404934/job/16162594669#step:17:20

+ sudo -u _starbase npm outdated
Package                                Current   Wanted  Latest  Location                                            Depended by
@jupiterone/integration-sdk-cli          9.5.0   9.11.1  10.0.0  node_modules/@jupiterone/integration-sdk-cli        starbase
@jupiterone/integration-sdk-core         9.5.0   9.11.1  10.0.0  node_modules/@jupiterone/integration-sdk-core       starbase
@jupiterone/integration-sdk-dev-tools    9.5.0   9.11.1  10.0.0  node_modules/@jupiterone/integration-sdk-dev-tools  starbase
@types/lodash.snakecase                  4.1.6    4.1.7   4.1.7  node_modules/@types/lodash.snakecase                starbase
ajv                                      8.9.0   8.12.0  8.12.0  node_modules/ajv                                    starbase
auto                                   10.37.4  10.46.0  11.0.1  node_modules/auto                                   starbase
simple-git                              3.16.0   3.19.1  3.19.1  node_modules/simple-git                             starbase
ts-jest                                 29.1.0   29.1.1  29.1.1  node_modules/ts-jest                                starbase
typescript                               5.1.3    5.1.6   5.1.6  node_modules/typescript                             starbase
npm notice 
npm notice New minor version of npm available! 9.6.7 -> 9.8.1
npm notice Changelog: <https://github.com/npm/cli/releases/tag/v9.8.1>
npm notice Run `npm install -g npm@9.8.1` to update!
npm notice

https://github.com/juju4/ansible-starbase/actions/runs/5958404934/job/16162594669#step:17:45

+ sudo -u _starbase yarn audit
yarn audit v1.22.19
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ qs vulnerable to Prototype Pollution                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ qs                                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=6.9.7                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @jupiterone/integration-sdk-dev-tools                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @jupiterone/integration-sdk-dev-tools >                      │
│               │ @jupiterone/integration-sdk-testing > @pollyjs/persister-fs  │
│               │ > @pollyjs/node-server > body-parser > qs                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1090139                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ qs vulnerable to Prototype Pollution                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ qs                                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=6.9.7                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @jupiterone/integration-sdk-dev-tools                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @jupiterone/integration-sdk-dev-tools >                      │
│               │ @jupiterone/integration-sdk-testing > @pollyjs/persister-fs  │
│               │ > @pollyjs/node-server > express > body-parser > qs          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1090139                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ tough-cookie Prototype Pollution vulnerability               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ tough-cookie                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.1.3                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @jupiterone/integration-sdk-dev-tools                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @jupiterone/integration-sdk-dev-tools > jest > @jest/core >  │
│               │ jest-config > jest-environment-jsdom > jsdom > tough-cookie  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092470                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ tough-cookie Prototype Pollution vulnerability               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ tough-cookie                                                 │
[...]