fengmk2
commented
5 months ago 我了解的信息是我们并没有受这个库的安全漏洞影响。
Closed Harvey1976 closed 5 months ago
fengmk2
commented
5 months ago 我了解的信息是我们并没有受这个库的安全漏洞影响。
Harvey1976
commented
5 months ago 但我看到egg-security这个项目的package.json里有ip这个package的。 ip这个库是有cve的,但是现在他们一直不release新版本,我看下来我们项目的引用树是有引用IP的。 我们是个EGG的项目,用了egg-security,所以客户在用trivy之类的东西扫描时,总是发现这个问题。
Harvey1976
commented
5 months ago "dependencies": { "csrf": "^3.0.6", "delegates": "^1.0.0", "egg-path-matching": "^1.0.0", "escape-html": "^1.0.3", "extend": "^3.0.1", "ip": "^2.0.1", 《《《《《《《《《《《《《《《《《《《《 就是这个 "koa-compose": "^4.1.0", "matcher": "^4.0.0", "methods": "^1.1.2", "nanoid": "^3.3.6", "platform": "^1.3.4", "statuses": "^2.0.1", "type-is": "^1.6.15", "xss": "^1.0.3" },
fengmk2
commented
5 months ago 嗯,我参考 https://github.com/indutny/node-ip/issues/150 换一个库看看。
fengmk2
commented
5 months ago @Harvey1976 好了
Harvey1976
commented
5 months ago 感谢
ip这个包有CVE,但是owner疏于维护,很久没有更新了
我们的产品用了egg 的框架,但是因为这个IP包的问题,在release时遇到很多麻烦。看了一下IP包的功能很单一,能否将这种依赖去掉。不要妨碍我们继续使用egg和egg-security
https://github.com/indutny/node-ip/pull/144