francois-dorin
commented
7 months ago Je viens de les activer, au cas où. Il y a 2 erreurs, mais qui sont en fait la même :
- une dans un fichier source Typescript
- une autre dans le fichier javascript généré automatiquement.
L'alerte qui reste est que le code interprète directement des éléments du DOM en HTML. C'est normal, c'est au niveau de la réorganisation des commentaires.
D'un point de vue pratique, les risques sont très faibles :
- l'extension n'est vulnérable que si le site de Next est vulnérable
- l'extension ne créé pas de vulnérabilité en tant que tel.
Et le jour où Next proposera directement le choix de l'ordre des commentaires, je pourrais supprimer le code, et donc la vulnérabilité ;)
Wivik
Hello,
Je me suis permis d'activer le scan CodeQL sur mon fork (vilaine déformation professionnelle) et il a relevé deux alertes medium. Les analyser va au delà de mes compétences par contre. Je te suggère d'activer Dependabot/CodeQL/Secret scanning dans les params secu du repo. Ces features sont gratuites pour les projets publics.
Egalement, tu peux aussi activer Dependabot version update pour qu'il te propose des mises à jour des dépendances node (non liées à la sécu).