我的 Gulp 生成的 Dist 文件夾是否可能包含在 node_modules 中發現的漏洞？

Question

我是 Gulp 的gulpfile.js ，我很難閱讀gulpfile.js文件。

這是我在package.json devDependencies ：

  "devDependencies": {
    ...
    "gulp-cssnano": "^2.1.3",
    ...
  },

gulp-cssnano依賴gulp-cssnano包含 2 個漏洞（我無法修復）：

                         === npm audit security report ===

                                 Manual Review
             Some vulnerabilities require your attention to resolve

          Visit https://go.npm.me/audit-guide for additional guidance


  Moderate        Denial of Service

  Package         js-yaml

  Patched in      >=3.13.0

  Dependency of   gulp-cssnano [dev]

  Path            gulp-cssnano > cssnano > postcss-svgo > svgo > js-yaml

  More info       https://npmjs.com/advisories/788


  High            Code Injection

  Package         js-yaml

  Patched in      >=3.13.1

  Dependency of   gulp-cssnano [dev]

  Path            gulp-cssnano > cssnano > postcss-svgo > svgo > js-yaml

  More info       https://npmjs.com/advisories/813

found 2 vulnerabilities (1 moderate, 1 high) in 16904 scanned packages
  2 vulnerabilities require manual review. See the full report for details.

這是我的gulpfile.js文件：

//
// Gulpfile
//

"use strict";

...

const cssnano = require('gulp-cssnano');

...

//
// CSS minifier - merges and minifies the below given list of Space libraries into one theme.min.css
//

function minCSS() {
  return gulp
    .src([
      './assets/css/theme.css',
    ])
    .pipe(cssnano())
    .pipe(rename({suffix: '.min'}))
    .pipe(gulp.dest('./dist/assets/css/'));
}

我不會用node_modules在生產環境，但“文件夾dist通過生成的文件夾gulpfile.js 。

請問dist文件夾包含在相關漏洞的漏洞devDependencies因為我看到const cssnano = require('gulp-cssnano')和.pipe(cssnano())在gulpfile.js產生的dist folder用的幫助gulp dist命令？

Answer 1

dist文件夾中會不會包含devDependencies中相關漏洞的漏洞

不，不會。

漏洞存在於gulp-cssnano包所需的文件中，而不是其生成的輸出（即dist文件夾的內容）中。 這些易受攻擊的文件駐留在node_modules文件夾中，在您的情況下，它們不會影響生產環境，所以您應該很高興。

然而，我注意到gulp-cssnano包已由其所有者在 GitHub 上存檔並標記為已棄用，因此您可能應該尋找替代方案。