search

fabiospampinato / bump

Bump updates the project's version, updates/creates the changelog, makes the bump commit, tags the bump commit and makes the release to GitHub. Opinionated but configurable.
MIT License
412 stars 13 forks source link

Updates packages to security alert #8

Closed tcelestino closed 5 years ago

tcelestino commented 5 years ago

Running npm audit inside my project, there are warning about 4 security issues.

Security alert:

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.11                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @fabiospampinato/bump [dev]                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @fabiospampinato/bump >                                      │
│               │ d54603dc80b92820fd07563b9888dca7cbe83e96e7e351990a70dcd8537… │
│               │ > cli-table2 > lodash                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/782                             │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @fabiospampinato/bump [dev]                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @fabiospampinato/bump >                                      │
│               │ d54603dc80b92820fd07563b9888dca7cbe83e96e7e351990a70dcd8537… │
│               │ > cli-table2 > lodash                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/577                             │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ moment                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=2.19.3                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @fabiospampinato/bump [dev]                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @fabiospampinato/bump > moment                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/532                             │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ moment                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=2.11.2                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @fabiospampinato/bump [dev]                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @fabiospampinato/bump > moment                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/55                              │
└───────────────┴──────────────────────────────────────────────────────────────┘
fabiospampinato commented 5 years ago

@tcelestino don't worry about those, there's nothing to worry about, unless you're letting your users define your bump configuration or something crazy like that.