Yarn audit fix — как обезопасить сайт?

Question

[resibe]

Здравствуйте, я создал пустой проект vue3 typescript и выполнил yarn audit fix
В итоге даже после фикса у меня все ище 49 уязвимостей
В одной из низ к примеру

high          │ Arbitrary File Creation/Overwrite on Windows via             │
│               │ insufficient relative path sanitization                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ tar                                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=6.1.9                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ geckodriver                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ geckodriver > tar                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1002501

Указано что уязвимость решена в версии >=6.1.9 тогда как у меня в yarn lock

geckodriver@^1.20.0:
  version "1.22.3"
  resolved "https://registry.yarnpkg.com/geckodriver/-/geckodriver-1.22.3.tgz#324b3102944e8928e67bde61ca129afac417dece"
  integrity sha512-HJvImEC5m/2J7aIn+AdiZml1yTOSFZAb8h8lmZBSUgGSCPdNTd0/6YxBVBsvzpaTuaDQHbMUr+8ikaFKF+Sj/A==
  dependencies:
    adm-zip "0.5.3"
    bluebird "3.7.2"
    got "5.6.0"
    https-proxy-agent "5.0.0"
    tar "6.0.2"

собственно почему yarn audit fix не изменил версию tar для geckodriver

Answer 1

[Aetae]

Не изменил версию, потому что tar "6.0.2", а не tar "^6.0.2".
А в целом - забейте болт.
1. Большинство уязвимостей находятся в либах, использующихся вами локально для сборки, а сами себя вы ломать будете.
2. Vue исполняется на клиенте и всё эти уязвимости в любом случае не имеют никакого значения, даже если окажутся в рабочем коде.

Внимательней к этому стоит присмотреться только когда начнёте писать сервер на node.js.

P.S. Если очень хочется - можно воспользоваться yarn resolutions и захардпатчить версии зависимостей. Но никто тогда вам не гарантирует корректную работу.