Open HowardTangHw opened 4 years ago
首先非常感謝easy-team 帶來了非常優秀的作品~ 因爲公司要對舊的react project進行升級,所以接觸到了團隊相關的作品 而且也非常的容易上手,我基本上可以將就項目遷移到egg上面, 可是現在問題就是,相關的依賴版本太舊了,在公司的Jfrog Xray上會被block,而且是一些比較深層的依賴 例如connect和node-http-server:8.1.1
connect
node-http-server:8.1.1
我自己在項目中使用npm audit fix 也并不能解決 因爲我們devops是需要Jenkins上打包的,而Jenkins得機子只能訪問内網,依賴需要通過内網的npm來安裝 而内網的npm就需要通過jfrog Xray的掃描,導致在部署上出了問題
npm audit fix
希望可以對一些依賴進行整體的升級,或者加入一些bot 例如renovate
renovate
@HowardTangHw 具体哪些依赖旧的, 同时存在什么安全问题?我看了一下 node-http-server 是用的最新的, 而且这个只在开发期间用,安装到的是 devDependencies
首先非常感謝easy-team 帶來了非常優秀的作品~ 因爲公司要對舊的react project進行升級,所以接觸到了團隊相關的作品 而且也非常的容易上手,我基本上可以將就項目遷移到egg上面, 可是現在問題就是,相關的依賴版本太舊了,在公司的Jfrog Xray上會被block,而且是一些比較深層的依賴 例如
connect
和node-http-server:8.1.1
我自己在項目中使用
npm audit fix
也并不能解決 因爲我們devops是需要Jenkins上打包的,而Jenkins得機子只能訪問内網,依賴需要通過内網的npm來安裝 而内網的npm就需要通過jfrog Xray的掃描,導致在部署上出了問題希望可以對一些依賴進行整體的升級,或者加入一些bot 例如
renovate