Closed klaveren closed 3 years ago
Updated on version 1.2.3, already published. Thanks for your report
Obrigado Gabriel. Parabéns pelo projeto. Atualizei aqui e o npm ainda está acusando Denial of Service.
=== npm audit security report ===
┌──────────────────────────────────────────────────────────────────────────────┐ │ Manual Review │ │ Some vulnerabilities require your attention to resolve │ │ │ │ Visit https://go.npm.me/audit-guide for additional guidance │ └──────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.6.1 <3.0.0-beta.1|| >= 3.0.0-beta.9 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ tracking-correios │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ tracking-correios > isomorphic-fetch > node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1556
@klaveren Eu uso o Yarn no projeto, e rodando yarn audit
encontra somente 2 libs com vulnerabilidades "low". Depois de adicionar essas duas no package.json
como resolutions
, forçando essa versão, resolveu e não apareceu a node-fetch.
Como vc pode ver no package.json
, eu forcei a versão ^2.6.1 do note-fetch. Deve ser alguma configuração no seu lock file que não está carregando as dependências corretas.
https://github.com/gabrielboliveira/tracking-correios/blob/d8aaadf9636072f3635eafa800cdbe404518330a/package.json#L40-L44
Recomendo vc remover e adicionar novamente o pacote do tracking-correios
na versão 1.2.3.
Já fiz uma boa refatoração de código, está no branch dev
. Removi inclusive essa isomorphic-fetch
que causa os problemas de vulnerabilidade. Vou realizar mais alguns testes antes de taggear.
Interessante, é pena que no npm eu não consigo usar resolutions de forma nativa. Fiz o que você recomendou, até reinstalei todas as minhas dependências. Mas ainda sem sucesso. To te mandando um log para você ver como tá sendo apresentada a mensagem aqui pra quem usa o NPM.
Obrigado.
@klaveren Atualizei para versão 1.3.0. Pode tentar usar essa nova versão? Contém várias atualizações de pacotes internos.
Que legal, muito obrigado. Está tudo funcionando perfeitamente. Parabéns pelo trabalho.
Hi Devs,
In a few days ago the npm audit security report identify a security problem Denial of Service in the node-fetch. The notify is here https://npmjs.com/advisories/1556. And the solution is update the node-fetch to version => 3.0
You have some idea to update the package in the near future?
Thanks