search

phase2 / p2-theme-core

Core configuration for Pattern Lab Starter/Particle v9
16 stars 22 forks source link

Multiple dependencies with security advisories #50

Closed timcosgrove closed 4 years ago

timcosgrove commented 5 years ago

Running npm audit on a checkout of p2-theme-core returns a large number of packages that need updating.

It is possible to run general updates to get the number down, but there are still a number that require looking at.

Ran on a clean checkout of p2-theme-core:

$ npm --version
6.4.1

$ node --version
v8.14.1

$ npm install
<snip>
added 144 packages from 158 contributors, removed 80 packages, updated 112 packages and audited 8717 packages in 25.524s
found 81 vulnerabilities (17 low, 51 moderate, 13 high)
  run `npm audit fix` to fix them, or `npm audit` for details

$ npm update
<snip>
found 17 vulnerabilities (9 low, 6 moderate, 2 high)
  run `npm audit fix` to fix them, or `npm audit` for details

$ npm audit fix

After that, this is the result:

$ npm audit

=== npm audit security report ===                        

# Run  npm install gulp-iconfont@10.0.2  to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-iconfont                                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp-iconfont > gulp-svgicons2svgfont > svgicons2svgfont >   │
│               │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/534                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-iconfont                                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp-iconfont > plexer > debug                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/534                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary File Overwrite                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ tar                                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-iconfont                                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp-iconfont > gulp-ttf2woff2 > ttf2woff2 > node-gyp > tar  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/803                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

# Run  npm install gulp-stylelint@9.0.0  to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ braces                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-stylelint                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp-stylelint > stylelint > micromatch > braces             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/786                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ deep-extend                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-stylelint                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp-stylelint > deep-extend                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/612                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-stylelint                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp-stylelint > stylelint > debug                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/534                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

# Run  npm update node.extend --depth 2  to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ node.extend                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-notify                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp-notify > node.extend                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/781                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ braces                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=2.3.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ sassdoc                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ sassdoc > vinyl-fs > glob-stream > micromatch > braces       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/786                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ braces                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=2.3.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ 232388d9e505128aa306d87157a375a209b51f7a06cec83c87f84b508b1… │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ 232388d9e505128aa306d87157a375a209b51f7a06cec83c87f84b508b1… │
│               │ > glob-watcher > chokidar > anymatch > micromatch > braces   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/786                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ braces                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=2.3.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ 232388d9e505128aa306d87157a375a209b51f7a06cec83c87f84b508b1… │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ 232388d9e505128aa306d87157a375a209b51f7a06cec83c87f84b508b1… │
│               │ > gulp-cli > matchdep > micromatch > braces                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/786                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ braces                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=2.3.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ 232388d9e505128aa306d87157a375a209b51f7a06cec83c87f84b508b1… │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ 232388d9e505128aa306d87157a375a209b51f7a06cec83c87f84b508b1… │
│               │ > vinyl-fs > glob-stream > micromatch > braces               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/786                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary File Overwrite                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ tar                                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.4.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-sass                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp-sass > node-sass > node-gyp > tar                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/803                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ > 4.2.0 < 5.0.0 || >= 5.0.3                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ 232388d9e505128aa306d87157a375a209b51f7a06cec83c87f84b508b1… │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ 232388d9e505128aa306d87157a375a209b51f7a06cec83c87f84b508b1… │
│               │ > gulp-cli > wreck > boom > hoek                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/566                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ > 4.2.0 < 5.0.0 || >= 5.0.3                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ 232388d9e505128aa306d87157a375a209b51f7a06cec83c87f84b508b1… │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ 232388d9e505128aa306d87157a375a209b51f7a06cec83c87f84b508b1… │
│               │ > gulp-cli > wreck > hoek                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/566                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ marked                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=0.6.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ sassdoc                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ sassdoc > sassdoc-theme-default > sassdoc-extras > marked    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/812                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 15 vulnerabilities (9 low, 4 moderate, 2 high) in 15412 scanned packages
  run `npm audit fix` to fix 1 of them.
  6 vulnerabilities require semver-major dependency updates.
  8 vulnerabilities require manual review. See the full report for details.
timcosgrove commented 5 years ago

This takes care of most of the dependency issues. The manual ones are still outstanding and would require traveling the dependency tree to find where the issue lies.

https://github.com/phase2/p2-theme-core/pull/51

timcosgrove commented 5 years ago

Hello! Just checking in to see if there is any thought about this issue. Thanks!

timcosgrove commented 4 years ago

This is no longer relevant after https://github.com/phase2/p2-theme-core/releases/tag/v11.0.0. closing.