After npm install and npm update I get several vulnerability warnings at time of this post. The audit details:
twolf@sbridge:/tmp/node-express-es6-boilerplate$ npm audit
=== npm audit security report ===
# Run npm install morgan@1.9.1 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Code Injection │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ morgan │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ morgan │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ morgan │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/736 │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install mongoose@5.8.11 to resolve 2 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ mpath │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ mongoose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ mongoose > mpath │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/779 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ mongodb │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ mongoose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ mongoose > mongodb │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1203 │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install --save-dev webpack@4.41.5 to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ mem │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ webpack [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ webpack > yargs > os-locale > mem │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1084 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ passport-jwt │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ passport-jwt > jsonwebtoken > joi > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/566 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ passport-jwt │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ passport-jwt > jsonwebtoken > joi > topo > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/566 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=2.3.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ babel-cli [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ babel-cli > chokidar > anymatch > micromatch > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/786 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 7 vulnerabilities (2 low, 4 moderate, 1 high) in 7075 scanned packages
run `npm audit fix` to fix 3 of them.
1 vulnerability requires semver-major dependency updates.
3 vulnerabilities require manual review. See the full report for details.
I understand these are not your vulnerabilities, but it is probably likely that folks needing to use someone else's starter project also lack the knowledge & skill to resolve these vulnerabilities. Is it possible for you to revise this project to eliminate these concerns?
After
npm install
andnpm update
I get several vulnerability warnings at time of this post. The audit details:I understand these are not your vulnerabilities, but it is probably likely that folks needing to use someone else's starter project also lack the knowledge & skill to resolve these vulnerabilities. Is it possible for you to revise this project to eliminate these concerns?
Thanks for sharing this code! :coffee: