NPM version 6.4.0 finds 6 high priority vulnerabilities in dependencies

[roguh]

I'd like to point out npm's output for the first time I tried to build this project. The vulnerabilities include use of the reportedly cryptographically weak PRGN randomatic, a bunch of instances of prototype pollution, "regular expression denial of service," and "ReDoS."

$ cd pfp
$ cat .git/refs/heads/master 
3607bcf2d535a190701f8aa3b4c59d19e76b2329
$ npm install
...
added 1174 packages from 674 contributors and audited 8400 packages in 535.044s
found 39 vulnerabilities (23 low, 10 moderate, 6 high)
$ npm audit --json > vulns.json

See npm's output in JSON format, or as I copy-pasted it from my terminal:

───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-instrument >             │
│               │ babel-generator > babel-types > babel-traverse > lodash      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-instrument >             │
│               │ babel-generator > babel-types > lodash                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-instrument >             │
│               │ babel-generator > lodash                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-instrument >             │
│               │ babel-template > babel-traverse > babel-types > lodash       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-instrument >             │
│               │ babel-template > babel-traverse > lodash                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-instrument >             │
│               │ babel-template > babel-types > babel-traverse > lodash       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-instrument >             │
│               │ babel-template > babel-types > lodash                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-instrument >             │
│               │ babel-template > lodash                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-instrument >             │
│               │ babel-traverse > babel-types > lodash                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-instrument >             │
│               │ babel-traverse > lodash                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-instrument > babel-types │
│               │ > babel-traverse > lodash                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-instrument > babel-types │
│               │ > lodash                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-instrument >             │
│               │ babel-generator > babel-types > babel-traverse > debug       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/534                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-instrument >             │
│               │ babel-template > babel-traverse > debug                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/534                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-instrument >             │
│               │ babel-template > babel-types > babel-traverse > debug        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/534                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-instrument >             │
│               │ babel-traverse > debug                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/534                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-instrument > babel-types │
│               │ > babel-traverse > debug                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/534                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ ReDoS                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ brace-expansion                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > glob > minimatch > brace-expansion    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/338                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ ReDoS                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ brace-expansion                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-report > rimraf > glob > │
│               │ minimatch > brace-expansion                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/338                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ ReDoS                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ brace-expansion                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > istanbul-lib-source-maps > rimraf >   │
│               │ glob > minimatch > brace-expansion                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/338                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ ReDoS                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ brace-expansion                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > rimraf > glob > minimatch >           │
│               │ brace-expansion                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/338                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ ReDoS                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ brace-expansion                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > spawn-wrap > rimraf > glob >          │
│               │ minimatch > brace-expansion                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/338                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Memory Exposure                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ tunnel-agent                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > coveralls > request > tunnel-agent          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/598                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > coveralls > request > hawk > boom > hoek    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/566                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > coveralls > request > hawk > cryptiles >    │
│               │ boom > hoek                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/566                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > coveralls > request > hawk > hoek           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/566                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > coveralls > request > hawk > sntp > hoek    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/566                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Cryptographically Weak PRNG                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ randomatic                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > micromatch > braces > expand-range >  │
│               │ fill-range > randomatic                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/157                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Cryptographically Weak PRNG                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ randomatic                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nodeunit [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nodeunit > tap > nyc > test-exclude > micromatch > braces >  │
│               │ expand-range > fill-range > randomatic                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/157                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

# Run  npm install --save-dev gulp@4.0.0  to resolve 5 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp [dev]                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp > vinyl-fs > glob-watcher > gaze > globule > lodash     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ minimatch                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp [dev]                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp > vinyl-fs > glob-stream > glob > minimatch             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/118                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ minimatch                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp [dev]                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp > vinyl-fs > glob-stream > minimatch                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/118                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ minimatch                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp [dev]                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp > vinyl-fs > glob-watcher > gaze > globule > glob >     │
│               │ minimatch                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/118                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ minimatch                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp [dev]                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp > vinyl-fs > glob-watcher > gaze > globule > minimatch  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/118                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

# Run  npm install --save-dev gulp-htmlhint@2.1.1  to resolve 2 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-htmlhint [dev]                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp-htmlhint > htmlhint > jshint > lodash                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Arbitrary File Write                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ cli                                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-htmlhint [dev]                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp-htmlhint > htmlhint > jshint > cli                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/95                        │
└───────────────┴──────────────────────────────────────────────────────────────┘

# Run  npm install --save-dev gulp-stylelint@7.0.0  to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ deep-extend                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-stylelint [dev]                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp-stylelint > deep-extend                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/612                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ minimatch                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=3.0.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-htmlhint [dev]                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp-htmlhint > htmlhint > jshint > minimatch                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/118                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ minimatch                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=3.0.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-htmlhint [dev]                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp-htmlhint > htmlhint > jshint > cli > glob > minimatch   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/118                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 39 vulnerabilities (23 low, 10 moderate, 6 high) in 8400 scanned packages
  run `npm audit fix` to fix 29 of them.
  8 vulnerabilities require semver-major dependency updates.
  2 vulnerabilities require manual review. See the full report for details.

[palant]

As you can see from the output, that's development dependencies only, pulled in by nodeunit, htmlhint and gulp to be specific. The former two are used for tests, the latter to build the package. While I am open to switching to newer versions if it reduces the amount of noise, none of these vulnerabilities have any effect on the extension itself.

[roguh]

I see. Thank you for clarifying this.

[palant]

After updating to Gulp 4.0, the output is now:

found 34 vulnerabilities (22 low, 10 moderate, 2 high)

[palant]

After updating to nodeunit 0.11.3, more are gone:

found 5 vulnerabilities (3 low, 2 high)

[palant]

Updating gulp-stylelint squished one more "low," so now we are down to 4 vulnerabilities that are all due to dependencies of gulp-htmlhint. This is mostly https://github.com/bezoerb/gulp-htmlhint/issues/41.

Closing now, nothing more I can do on my end here.