search

apache / cordova-paramedic

Apache Cordova - Paramedic
https://cordova.apache.org/
Apache License 2.0
36 stars 53 forks source link

Update dependencies and fix npm audit warnings #121

Closed timbru31 closed 5 years ago

timbru31 commented 5 years ago

The current state of the dependencies isn't that great, if possible npm audit warning should be fixed and examined which dependencies can be upgraded:

cordova-paramedic on  janpio-saucelabs_ios_10plus [⇡] is 📦 v0.6.0-dev took 6s
➜ npm audit

                       === npm audit security report ===

# Run  npm install socket.io@2.2.0  to resolve 9 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ socket.io                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ socket.io > debug                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/534                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ socket.io                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ socket.io > engine.io > debug                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/534                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ socket.io                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ socket.io > socket.io-adapter > debug                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/534                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ socket.io                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ socket.io > socket.io-client > debug                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/534                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ socket.io                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ socket.io > socket.io-client > engine.io-client > debug      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/534                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ socket.io                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ socket.io > socket.io-adapter > socket.io-parser > debug     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/534                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ socket.io                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ socket.io > socket.io-client > socket.io-parser > debug      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/534                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ socket.io                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ socket.io > socket.io-parser > debug                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/534                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ parsejson                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ socket.io                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ socket.io > socket.io-client > engine.io-client > parsejson  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/528                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

# Run  npm install localtunnel@1.9.1  to resolve 4 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ localtunnel                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ localtunnel > debug                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/534                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Remote Memory Exposure                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ request                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ localtunnel                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ localtunnel > request                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/309                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ mime                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ localtunnel                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ localtunnel > request > form-data > mime                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/535                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ mime                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ localtunnel                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ localtunnel > request > mime                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/535                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

# Run  npm install jasmine@3.4.0  to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ minimatch                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jasmine                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ jasmine > glob > minimatch                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/118                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

# Run  npm install cordova-common@3.1.0  to resolve 2 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ cordova-common                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ cordova-common > plist > xmlbuilder > lodash                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/782                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ cordova-common                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ cordova-common > plist > xmlbuilder > lodash                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/577                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

# Run  npm install tcp-port-used@1.0.1  to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ tcp-port-used                                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ tcp-port-used > debug                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/534                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

found 17 vulnerabilities (11 low, 4 moderate, 2 high) in 701 scanned packages
  run `npm audit fix` to fix 4 of them.
  13 vulnerabilities require semver-major dependency updates.

cordova-paramedic on  janpio-saucelabs_ios_10plus [⇡] is 📦 v0.6.0-dev took 2s
➜ npm outdated
Package                Current  Wanted  Latest  Location
cordova-common           1.5.1   1.5.1   3.1.0  cordova-paramedic
expect-telnet            0.5.6   0.5.6   1.0.0  cordova-paramedic
jasmine                  2.4.1   2.4.1   3.4.0  cordova-paramedic
jasmine-spec-reporter    2.7.0   2.7.0   4.2.1  cordova-paramedic
jshint                   2.9.6  2.10.2  2.10.2  cordova-paramedic
localtunnel              1.5.1   1.5.1   1.9.1  cordova-paramedic
minimist                 1.1.3   1.1.3   1.2.0  cordova-paramedic
path-extra               3.0.0   3.0.0   4.2.1  cordova-paramedic
saucelabs                1.5.0   1.5.0   2.1.6  cordova-paramedic
shelljs                  0.3.0   0.3.0   0.8.3  cordova-paramedic
socket.io                1.7.4   1.7.4   2.2.0  cordova-paramedic
tcp-port-used            0.1.2   0.1.2   1.0.1  cordova-paramedic
tmp                     0.0.25  0.0.25   0.1.0  cordova-paramedic
unorm                    1.4.1   1.5.0   1.5.0  cordova-paramedic
erisu commented 5 years ago

This was already prepared in PR #120.