This PR will update some old packages that were noted as deprecated and/or vulnerable. Tested commands on MacOS/Debian/Windows with no major warnings.
Notes:
request package deprecation wasn't mentioned either after running npm audit or during the install process, but its replacement is highly encouraged by its authors.
node-fetch will be left at version 2.6.7, the last version with CommonJS support.
There are three remaining vulnerabilities marked as high that come from @bloq/cloud-sdk repo, all related with axios package.
Screenshots
These are the installing messages on a fresh Windows VM:
Results of npm audit
=== npm audit security report ===
# Run npm update ansi-regex --depth 3 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Inefficient Regular Expression Complexity in │
│ │ chalk/ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ora │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ora > strip-ansi > ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-93q8-gq69-wqmw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Exposure of Sensitive Information to an Unauthorized Actor │
│ │ in follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.14.8 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @bloq/cloud-sdk │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @bloq/cloud-sdk > axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-pw2r-vq6v-hr8c │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Exposure of sensitive information in follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.14.7 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @bloq/cloud-sdk │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @bloq/cloud-sdk > axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-74fj-2j2h-c42q │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Incorrect Comparison in axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.21.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @bloq/cloud-sdk │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @bloq/cloud-sdk > axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-cph5-m8f7-6c5x │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Server-Side Request Forgery in Axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.21.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @bloq/cloud-sdk │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @bloq/cloud-sdk > axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-4w2v-q235-vp99 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 5 vulnerabilities (2 moderate, 3 high) in 943 scanned packages
This PR will update some old packages that were noted as deprecated and/or vulnerable. Tested commands on MacOS/Debian/Windows with no major warnings.
Notes:
requestpackage deprecation wasn't mentioned either after runningnpm auditor during the install process, but its replacement is highly encouraged by its authors.node-fetchwill be left at version 2.6.7, the last version with CommonJS support.@bloq/cloud-sdkrepo, all related withaxiospackage.Screenshots
npm auditProcess checklist
Related issue(s)
Closes #190
Metrics
Actual effort: 4h