[英]Is it possible that my Dist folder generated by Gulp contains a vulnerability found in node_modules?
我是 Gulp 的gulpfile.js
,我很難閱讀gulpfile.js
文件。
這是我在package.json
devDependencies
:
"devDependencies": {
...
"gulp-cssnano": "^2.1.3",
...
},
gulp-cssnano
依賴gulp-cssnano
包含 2 個漏洞(我無法修復):
=== npm audit security report ===
Manual Review
Some vulnerabilities require your attention to resolve
Visit https://go.npm.me/audit-guide for additional guidance
Moderate Denial of Service
Package js-yaml
Patched in >=3.13.0
Dependency of gulp-cssnano [dev]
Path gulp-cssnano > cssnano > postcss-svgo > svgo > js-yaml
More info https://npmjs.com/advisories/788
High Code Injection
Package js-yaml
Patched in >=3.13.1
Dependency of gulp-cssnano [dev]
Path gulp-cssnano > cssnano > postcss-svgo > svgo > js-yaml
More info https://npmjs.com/advisories/813
found 2 vulnerabilities (1 moderate, 1 high) in 16904 scanned packages
2 vulnerabilities require manual review. See the full report for details.
這是我的gulpfile.js
文件:
//
// Gulpfile
//
"use strict";
...
const cssnano = require('gulp-cssnano');
...
//
// CSS minifier - merges and minifies the below given list of Space libraries into one theme.min.css
//
function minCSS() {
return gulp
.src([
'./assets/css/theme.css',
])
.pipe(cssnano())
.pipe(rename({suffix: '.min'}))
.pipe(gulp.dest('./dist/assets/css/'));
}
我不會用node_modules
在生產環境,但“文件夾dist
通過生成的文件夾gulpfile.js
。
請問dist
文件夾包含在相關漏洞的漏洞devDependencies
因為我看到const cssnano = require('gulp-cssnano')
和.pipe(cssnano())
在gulpfile.js
產生的dist folder
用的幫助gulp dist
命令?
dist文件夾中會不會包含devDependencies中相關漏洞的漏洞
不,不會。
漏洞存在於gulp-cssnano
包所需的文件中,而不是其生成的輸出(即dist
文件夾的內容)中。 這些易受攻擊的文件駐留在node_modules
文件夾中,在您的情況下,它們不會影響生產環境,所以您應該很高興。
然而,我注意到gulp-cssnano
包已由其所有者在 GitHub 上存檔並標記為已棄用,因此您可能應該尋找替代方案。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.