Open markusgeert opened 6 months ago
nlsvgtr
commented
6 months ago We zitten nog steeds in een aanloopfase; de huidige versie van openstad-headless is op zn best beta. Als onderdeel van dat proces moeten we deze issues natuurlijk fiksen. Dat zal in de komende maand moeten gebeuren.
markusgeert
commented
6 months ago We zitten nog steeds in een aanloopfase; de huidige versie van openstad-headless is op zn best beta. Als onderdeel van dat proces moeten we deze issues natuurlijk fiksen. Dat zal in de komende maand moeten gebeuren.
Hi Niels, bedankt voor je reactie. Is openstad-app dan het project dat je nu moet gebruiken voor een productie-omgeving? Daar kom ik in totaal uit op 182 kwetsbaarheden (!!!, waarvan er een aantal waarschijnlijk wel meer dan 1 keer in zitten).
Dit is voor ons op dit moment een dealbreaker om te gaan werken met OpenStad. In dat licht vroegen we ons af of we nog kunnen helpen met een plan van aanpak hierin, zoals het instellen van Dependabot of het bijwerken van de depencies met kwetsbaarheden?
bartnieuwenweg
commented
6 months ago Hi Markus,
Laten we even een overlegje plannen om dit samen op te pakken. Inderdaad goed om dit door te nemen. Kun jij me een mail sturen via bart@draad.nl? Dan zoeken we even een momentje.
Gr. Bart
Badmuts
commented
6 months ago We zitten nog steeds in een aanloopfase; de huidige versie van openstad-headless is op zn best beta. Als onderdeel van dat proces moeten we deze issues natuurlijk fiksen. Dat zal in de komende maand moeten gebeuren.
Hi Niels, bedankt voor je reactie. Is openstad-app dan het project dat je nu moet gebruiken voor een productie-omgeving? Daar kom ik in totaal uit op 182 kwetsbaarheden (!!!, waarvan er een aantal waarschijnlijk wel meer dan 1 keer in zitten).
Dit is voor ons op dit moment een dealbreaker om te gaan werken met OpenStad. In dat licht vroegen we ons af of we nog kunnen helpen met een plan van aanpak hierin, zoals het instellen van Dependabot of het bijwerken van de depencies met kwetsbaarheden?
Je kunt inderdaad openstad-app gebruiken, echter verwijzen de submodules daar wel naar redelijk oude commits. Mijn advies is om sowieso de master/main branches te gebruiken. Ook hierin zitten mogelijk verouderde/kwetsbare packages.
nlsvgtr
commented
5 months ago Critical issues zijn gefixed in #409. De overgebleven High issues zitten in MJML; daar moet een besluit over genomen.
npm auditwill currently find 44 vulnerabilities in the dependencies. Next to this there are several dependencies that are either out of date or deprecated (mysql2 1.7.0, uuid 3.0.1 and dotenv 6.0.0 to name a few).Is this currently being addressed? If not, we would be glad to look into some of the more critical vulnerabilities.