Задать вопрос
@resibe
19-летний пушистик
vue

Yarn audit fix — как обезопасить сайт?

Здравствуйте, я создал пустой проект vue3 typescript и выполнил yarn audit fix
В итоге даже после фикса у меня все ище 49 уязвимостей
В одной из низ к примеру
high          │ Arbitrary File Creation/Overwrite on Windows via             │
│               │ insufficient relative path sanitization                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ tar                                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=6.1.9                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ geckodriver                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ geckodriver > tar                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1002501

Указано что уязвимость решена в версии >=6.1.9 тогда как у меня в yarn lock 
geckodriver@^1.20.0:
  version "1.22.3"
  resolved "https://registry.yarnpkg.com/geckodriver/-/geckodriver-1.22.3.tgz#324b3102944e8928e67bde61ca129afac417dece"
  integrity sha512-HJvImEC5m/2J7aIn+AdiZml1yTOSFZAb8h8lmZBSUgGSCPdNTd0/6YxBVBsvzpaTuaDQHbMUr+8ikaFKF+Sj/A==
  dependencies:
    adm-zip "0.5.3"
    bluebird "3.7.2"
    got "5.6.0"
    https-proxy-agent "5.0.0"
    tar "6.0.2"

собственно почему yarn audit fix не изменил версию tar для geckodriver
  • Вопрос задан
  • 244 просмотра
Комментировать
Подписаться 1 Простой Комментировать
Решения вопроса 1
Aetae
@Aetae Куратор тега Vue.js
Тлен
Не изменил версию, потому что tar "6.0.2", а не tar "^6.0.2".
А в целом - забейте болт.
1. Большинство уязвимостей находятся в либах, использующихся вами локально для сборки, а сами себя вы ломать будете.
2. Vue исполняется на клиенте и всё эти уязвимости в любом случае не имеют никакого значения, даже если окажутся в рабочем коде.

Внимательней к этому стоит присмотреться только когда начнёте писать сервер на node.js.

P.S. Если очень хочется - можно воспользоваться yarn resolutions и захардпатчить версии зависимостей. Но никто тогда вам не гарантирует корректную работу.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Frontend-разработчик VUE (Senior, Middle+)
SOFT DIVISION Ярославль
от 150 000 до 300 000 ₽
Frontend Vue & Capacitor Developer Middle++
Parasol Software
от 2 000 до 2 500 $
Второй ведущий разработчик (Fullstack, PHP, Laravel, Vue, Mysql)
Donatov.net
от 100 000 до 300 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Помощь с интеграцией Hubspot CRM Starter/Airtable с Google Looker
08 мая 2024, в 02:43
2000 руб./за проект
Помощь с получением Google blue checkmark для доменного имени/ящиков
08 мая 2024, в 02:35
2000 руб./за проект
Помощь с выбором и настройкой Lead Management Tool как Airtable
08 мая 2024, в 02:29
5000 руб./за проект
Ещё заказы