Closed timbru31 closed 5 years ago
The current state of the dependencies isn't that great, if possible npm audit warning should be fixed and examined which dependencies can be upgraded:
cordova-paramedic on janpio-saucelabs_ios_10plus [⇡] is 📦 v0.6.0-dev took 6s ➜ npm audit === npm audit security report === # Run npm install socket.io@2.2.0 to resolve 9 vulnerabilities SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ socket.io │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ socket.io > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ socket.io │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ socket.io > engine.io > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ socket.io │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ socket.io > socket.io-adapter > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ socket.io │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ socket.io > socket.io-client > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ socket.io │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ socket.io > socket.io-client > engine.io-client > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ socket.io │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ socket.io > socket.io-adapter > socket.io-parser > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ socket.io │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ socket.io > socket.io-client > socket.io-parser > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ socket.io │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ socket.io > socket.io-parser > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ parsejson │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ socket.io │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ socket.io > socket.io-client > engine.io-client > parsejson │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/528 │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm install localtunnel@1.9.1 to resolve 4 vulnerabilities ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ localtunnel │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ localtunnel > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Remote Memory Exposure │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ localtunnel │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ localtunnel > request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/309 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ localtunnel │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ localtunnel > request > form-data > mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/535 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ localtunnel │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ localtunnel > request > mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/535 │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm install jasmine@3.4.0 to resolve 1 vulnerability SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ jasmine │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ jasmine > glob > minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/118 │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm install cordova-common@3.1.0 to resolve 2 vulnerabilities SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ cordova-common │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ cordova-common > plist > xmlbuilder > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ cordova-common │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ cordova-common > plist > xmlbuilder > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm install tcp-port-used@1.0.1 to resolve 1 vulnerability SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ tcp-port-used │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ tcp-port-used > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ found 17 vulnerabilities (11 low, 4 moderate, 2 high) in 701 scanned packages run `npm audit fix` to fix 4 of them. 13 vulnerabilities require semver-major dependency updates. cordova-paramedic on janpio-saucelabs_ios_10plus [⇡] is 📦 v0.6.0-dev took 2s ➜ npm outdated Package Current Wanted Latest Location cordova-common 1.5.1 1.5.1 3.1.0 cordova-paramedic expect-telnet 0.5.6 0.5.6 1.0.0 cordova-paramedic jasmine 2.4.1 2.4.1 3.4.0 cordova-paramedic jasmine-spec-reporter 2.7.0 2.7.0 4.2.1 cordova-paramedic jshint 2.9.6 2.10.2 2.10.2 cordova-paramedic localtunnel 1.5.1 1.5.1 1.9.1 cordova-paramedic minimist 1.1.3 1.1.3 1.2.0 cordova-paramedic path-extra 3.0.0 3.0.0 4.2.1 cordova-paramedic saucelabs 1.5.0 1.5.0 2.1.6 cordova-paramedic shelljs 0.3.0 0.3.0 0.8.3 cordova-paramedic socket.io 1.7.4 1.7.4 2.2.0 cordova-paramedic tcp-port-used 0.1.2 0.1.2 1.0.1 cordova-paramedic tmp 0.0.25 0.0.25 0.1.0 cordova-paramedic unorm 1.4.1 1.5.0 1.5.0 cordova-paramedic
This was already prepared in PR #120.
The current state of the dependencies isn't that great, if possible npm audit warning should be fixed and examined which dependencies can be upgraded: