Actualización de dependencias del backend

[Trjegul84]

De acuerdo a los resultados de la tarea #278 y la decisión tomada en la tarea #589, realizar la actualización de las dependencias del backend, teniendo en cuenta lo ssiguiente:

• Verificar los cambios que podrían ser necesarios para las versiones mayores y aplicar las que se puedan.
• Actualizar parches y versiones menores de las demás.
• Si se hacen operaciones con yarn add ejecutar luego yarn install para que el cambio quede reflejado en el lock global

Consideraciones

Si es necesario llevar un paquete a una versión mayor, por ejemplo porque necesitamos un parche que ya no será aplicado a la versión que tenemos o por que va a dejar de recibir mantenimiento en el corto plazo, pero esta actualización resulta muy compleja se debe crear una tarea exclusiva para este paquete.

• Trabajar sobre lo que se avanzó en la rama feature/updates

[Trjegul84]

Hey team! Please add your planning poker estimate with ZenHub @alegnaaived @cazapatamar @danflop @erikasv

[Trjegul84]

Se realizaron las siguientes actualizaciones:

(paquete):(versión instalada) node-fetch: 2.6.7 bottlejs: 1.7.2 knex: 0.21.21 knex: 0.95.15 eslint-config-airbnb-base: 13.2.0 eslint: 5.16.0 pg: 8.7.3 config: 3.3.7 restify: 8.6.0 restify-router: 0.6.2 nodemon: 2.0.15 winston: 3.3.3 winston: 3.5.1 apidoc: 0.50.4

A pesar de las actualizaciones continúan las vulnerabilidades de severidad ALTA:

• mixme (via restify, restify-cors-middleware)
• normalize-url (via nodemon, apidoc)
• tar (via restify, restify-cors-middleware)

MODERADA:

• color-string (via winston, apidoc)
• json-schema (via restify, restify-cors-middleware)
• path-parse (via eslint-plugin-import, knex, bookshelf, apidoc)

[erikasv]

@Trjegul84 Un par de preguntas:

• Las dependencias quedaron con carret y no con tilde, habíamos quedado en usar tilde no?
• En el caso de knex y winston que están con dos versiones diferentes, pero la misma mayor (en el caso de knex la 0 y en el caso de winston la 3) podemos mejor dejarlas en las mismas?, no es necesario para el funcionamiento de los paquetes, pero ya que estamos haciendo el proceso de actualización por que no dejarlas en la versión menor más alta que ya esté usando otro de los servicios?

En cuanto a las 3 dependencias que quedaron en alta creo que nos va a tocar buscar una alternativa para actualizarlas directamente, sería explorar más ese paquete yarn-audit-fix o intentar usar el dependabot por nuestra cuenta. Creo que deberíamos crear otra tarea para esto (tal vez agruparlas con las del front porque ya hay demasiadas tareas para esto de la actualización).

En todo caso ya que quedaron aquí explicitas en un issue (que recordemos es público) ya toca arreglarlas sí o sí 😅

[Trjegul84]

Observaciones:

• Se actualizó bottlejs a la ultima versión sin presentar problemas para el funcionamiento del backend.
• Cuando se realizó la prueba de actualizar Knex a la versión latest se presenta a un problema en el servicio integridad de bosques porque no se muestra el grafico pie. Por esa razón finalmente se actualizó knex para todos los servicios a la versión 0.95.15.
• Cuando se realiza la prueba de actualizar node-fetch a la versión latest el backend falla de inmediato. Algunos de los errores son: Error [ERR_REQUIRE_ESM]: Must use import to load ES Module y require() of ES modules is not supported. Por eso node-fetch queda en la versión 2.6.7 estable.
• Cuando se intenta actualizar eslint-config-airbnb-base y eslint a sus respectivas versiones latest, el backend funciona pero se genera otra vulnerabilidad de tipo moderada en la dependencia ansi-regex: 3.0.0. Por esa razón se dejan en las ultimas versiones compatibles y estables.