Closed Pavinati closed 6 years ago
There is github security warning. Keep in mind, it could hurt elm, if elm 0.18 would be marked as insecure.
The dependencies were significantly reduced in #194 and available in 0.18.0-exp5
. You may upgrade to that release or await 0.19
I think.
FYI: npm audit
in my environment reports as follows.
torii-mac:elm-security-test jinjor$ npm audit
=== npm audit security report ===
# Run npm install --save-dev elm@1.4.1 to resolve 5 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ elm [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ elm > request > hawk > boom > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/566 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ elm [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ elm > request > hawk > cryptiles > boom > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/566 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ elm [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ elm > request > hawk > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/566 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ elm [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ elm > request > hawk > sntp > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/566 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Memory Exposure │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tunnel-agent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ elm [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ elm > request > tunnel-agent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/598 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 5 moderate severity vulnerabilities in 118 scanned packages
5 vulnerabilities require semver-major dependency updates.
Looks like there is another problematic module tunnel-agent
.
(node v8.9.4, npm@6.1.0, elm@0.18.0, request@2.74.0, hawk@3.1.3, hoek@2.16.3, sntp@1.0.9, tunnel-agent@0.4.3)
It appears to be getting updated with the new installers.
Installing elm to my dev dependencies with npm added the line
"elm": "^0.18.0"
to my package.json file, which installs Hoek 2.6.3 with npm install. The dependency in my package-lock.json is resolved as follows elm@0.18.0 -> request@2.74.0 -> hawk@3.1.3 -> hoek@2.16.3