Security Vulnerability in Reposititory / Storybook update

[Listor]

Wie besprochen, ist es aus meiner Sicht kein Risiko, weil es nur unsere Build-Pipeline und Tools betrifft.

Vielleicht können wir das Ticket aber trotzdem dafür hernehmen, dass ich in absehbarer Zeit auf die neuste Storybook Version wechsle, damit wir wieder up to date sind.

[cakageka]

Neue Vulnerability. Bitte prüfen.

[Listor]

Theoretisch, wenn mein Storybook im öffentlichen Netz wäre, dann könnte man hiermit auf mein Dateisystem zugreifen und Dateien auslesen. Auch wenn man im selben Netz wie ich bin, wäre dies theoretisch denkbar.

Das Potential für einen Angriff ist hier schon deutlich höher, weil man auf das Dateisystem Zugriff erlangen kann.

Ich versuche deshalb gerade uns auf Storybook 8 zu updaten. Das sind 2 Major Versionen und ich habe zwar schon eine lauffähige Version, jedoch nur mit 2 Komponenten und allen Addons disabled.

Jetzt noch offen ist:

• Script schreiben, um die Stories zu migrieren
• Bundle testen und ggf. anpassen
• Integration in Jekyll prüfen und ggf. anpassen
• Addons wieder lauffähig bekommen (YAML TO JSON, Theming, HTML Download)
• Dependabot PR's checken

[Listor]

So, ich habe alle PR's und Dependencies geupdated und die Security Vulnerabilities gelöst.

Die Einzigen, die jetzt noch offen sind, haben mit der Template Sprache zu tun. Hier hänge ich etwas an Jekyll, weshalb ich jetzt kein Update machen werde.

Zusammenfassend:

• [x] Wir sind auf Storybook 8
• [x] Bundle läuft
• [x] Tests laufen wieder
• [x] Läuft auch in Jekyll
• [ ] Addons laufen noch nicht wieder

Für die Addons lege ich Tickets an.