search

easy-team / egg-react-webpack-boilerplate

Egg React Server Side Render(SSR) / Client Sider Render(CSR)
https://easyjs.cn/egg-react
MIT License
671 stars 93 forks source link

dependencies security #54

Open HowardTangHw opened 4 years ago

HowardTangHw commented 4 years ago

首先非常感謝easy-team 帶來了非常優秀的作品~ 因爲公司要對舊的react project進行升級,所以接觸到了團隊相關的作品 而且也非常的容易上手,我基本上可以將就項目遷移到egg上面, 可是現在問題就是,相關的依賴版本太舊了,在公司的Jfrog Xray上會被block,而且是一些比較深層的依賴 例如connectnode-http-server:8.1.1

我自己在項目中使用npm audit fix 也并不能解決 因爲我們devops是需要Jenkins上打包的,而Jenkins得機子只能訪問内網,依賴需要通過内網的npm來安裝 而内網的npm就需要通過jfrog Xray的掃描,導致在部署上出了問題

希望可以對一些依賴進行整體的升級,或者加入一些bot 例如renovate

hubcarl commented 4 years ago

@HowardTangHw 具体哪些依赖旧的, 同时存在什么安全问题?我看了一下 node-http-server 是用的最新的, 而且这个只在开发期间用,安装到的是 devDependencies