Я впервые получил уведомление от GitHub о потенциальной проблеме безопасности (метка: высокая степень серьезности) с некоторыми зависимостями моего проекта. Вот пример сообщения:
Уязвимость url-parse обнаружена в package-lock.json
И это предлагаемое решение:
Обновите url-parse до версии 1.4.3 или новее. Например:
"dependencies": {
"url-parse": ">=1.4.3"
}
или ...
"devDependencies": {
"url-parse": ">=1.4.3"
}
Теперь я просто проверил наличие устаревших пакетов, запустив npm outdated -g --depth=0 в моем терминале согласно официальной документации и выполнив команду npm -g update (я также пытался настроить таргетинг на саму зависимость с npm update url-parse). Несколько пакетов были успешно обновлены, но похоже, что пакет не вызвал проблему. Я должен обновить его вручную, добавив предложенную строку кода: "url-parse": ">=1.4.3"?
И, наконец, насколько я должен быть обеспокоен такими предупреждениями?
Спасибо!