Как решить проблему с gulp vulnerabitilies?

Question

[LokiX]

изначально,когда я устанавливал плагин gulp-cli,у меня появились 23 высоких уязвимостей.Я решил провести небольшое расследование данного события.Подозреваю,что проблема заключается в обновлении npm пакетов.Я пытался исправить данную проблему,но толком не смог ничего сделать.Сам сборщик gulp полноценно функционирует без каких-либо проблем.Просто мне хочется понять,что могло пойти не так

Answer 1

[FairyTaleComposer]

Не претендую на истину в последней инстанции, но из моего опыта следует:

Gulp уже достаточно давно не обновляется, на сайте npm видно. Вряд ли этот вопрос уязвимостей как-то решается. Я уже не первый раз сталкиваюсь с подобной историей, не только с галпом. Раньше такого кол-ва уязвимостей же не было, они появляются со временем, когда пакет перестаёт обновлятся. Здесь он зависит от уязвимых, тоже устаревших версий других пакетов. Короче говоря, обычная несовместимость версий и отсутсвие поддержки пакетов в актуальном состоянии. Этот вопрос, насколько я могу судить, должны решать разработчики пакета.

npm audit fix --force
устанавливает новые версии зависимостей, и это действительно решает вопрос с небольшим количеством уязвимостей.
Но в случае с галпом, на днях его ставила - уязвимостей меньше не стало, зато часть высоких превратилась в критические))