pdyraga
commented
4 years ago Open pdyraga opened 4 years ago
pdyraga
commented
4 years ago 
nkuba
commented
4 years ago There's not much we can do, see report below.
There are two issues mentioned:
https://www.npmjs.com/advisories/877 (web3)
https://www.npmjs.com/advisories/1217 (truffle and openzeppelin-test-helpers)
All are dev dependencies. The problems don't seem important for our use case.
➜ solidity git:(master) ✗ npm audit
=== npm audit security report ===
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Insecure Credential Storage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ solidity-bytes-utils │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ solidity-bytes-utils > truffle-hdwallet-provider > web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/877 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Insecure Credential Storage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ faf3ff09c8da8aa09c071889cabf3efea3635a6f31cac59c07235a1f4cc… │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ faf3ff09c8da8aa09c071889cabf3efea3635a6f31cac59c07235a1f4cc… │
│ │ > solidity-bytes-utils > truffle-hdwallet-provider > web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/877 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Insecure Credential Storage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ce0b79cb7b87dd4d7feccacdcec3dbcb94b397893988bf36c82cb49ebd7… │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ce0b79cb7b87dd4d7feccacdcec3dbcb94b397893988bf36c82cb49ebd7… │
│ │ > solidity-bytes-utils > truffle-hdwallet-provider > web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/877 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Insecure Credential Storage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ solidity-bytes-utils │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ solidity-bytes-utils > truffle-hdwallet-provider > │
│ │ web3-provider-engine > web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/877 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Insecure Credential Storage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ faf3ff09c8da8aa09c071889cabf3efea3635a6f31cac59c07235a1f4cc… │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ faf3ff09c8da8aa09c071889cabf3efea3635a6f31cac59c07235a1f4cc… │
│ │ > solidity-bytes-utils > truffle-hdwallet-provider > │
│ │ web3-provider-engine > web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/877 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Insecure Credential Storage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ce0b79cb7b87dd4d7feccacdcec3dbcb94b397893988bf36c82cb49ebd7… │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ce0b79cb7b87dd4d7feccacdcec3dbcb94b397893988bf36c82cb49ebd7… │
│ │ > solidity-bytes-utils > truffle-hdwallet-provider > │
│ │ web3-provider-engine > web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/877 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Insecure Credential Storage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @truffle/contract [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @truffle/contract > @truffle/interface-adapter > web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/877 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Insecure Credential Storage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @truffle/contract [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @truffle/contract > ethereum-ens > web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/877 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Insecure Credential Storage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @truffle/contract [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @truffle/contract > web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/877 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Insecure Credential Storage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @truffle/hdwallet-provider [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @truffle/hdwallet-provider > web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/877 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Insecure Credential Storage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ openzeppelin-test-helpers [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ openzeppelin-test-helpers > truffle-contract > │
│ │ truffle-interface-adapter > web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/877 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Insecure Credential Storage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ openzeppelin-test-helpers [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ openzeppelin-test-helpers > truffle-contract > web3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/877 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Arbitrary File Write │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ decompress │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @truffle/contract [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @truffle/contract > @truffle/interface-adapter > web3 > │
│ │ web3-bzz > swarm-js > decompress │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1217 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Arbitrary File Write │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ decompress │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @truffle/contract [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @truffle/contract > ethereum-ens > web3 > web3-bzz > │
│ │ swarm-js > decompress │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1217 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Arbitrary File Write │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ decompress │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @truffle/contract [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @truffle/contract > web3 > web3-bzz > swarm-js > decompress │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1217 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Arbitrary File Write │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ decompress │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @truffle/hdwallet-provider [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @truffle/hdwallet-provider > web3 > web3-bzz > swarm-js > │
│ │ decompress │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1217 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Arbitrary File Write │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ decompress │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ openzeppelin-test-helpers [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ openzeppelin-test-helpers > truffle-contract > │
│ │ truffle-interface-adapter > web3 > web3-bzz > swarm-js > │
│ │ decompress │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1217 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Arbitrary File Write │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ decompress │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ openzeppelin-test-helpers [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ openzeppelin-test-helpers > truffle-contract > web3 > │
│ │ web3-bzz > swarm-js > decompress │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1217 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 18 vulnerabilities (12 low, 6 high) in 189227 scanned packages
18 vulnerabilities require manual review. See the full report for details.
Shadowfiend
commented
4 years ago Annoying that we can't mark one as “we get it and we're fine with it”.