Question

Я уже некоторое время пользуюсь Gulp, и недавно я заметил, что при установке или обновлении пакетов появляются предупреждения безопасности. Я запускаю аудит и получаю много информации, но я не уверен, в частности, нужно ли это использовать на производственном сервере или же на локальном сервере.

Я также пытался использовать gulp 4, и это, кажется, хорошо, но мне было просто любопытно на версии 3.9.1, так как есть некоторые различия.

Я полагаю, что короткий вопрос - безопасен ли gulp 3.9.1 для использования в локальной среде или это создает проблему безопасности?

mihai · Answer 1 · 08 ноября 2018

Я бы сказал, что это безопасно. Вот мои мысли об обнаруженных уязвимостях:

Для модуля minimatch существует 4 сильных уязвимости типа Regular Expression Denial of Service. Они в основном связаны с пользовательским вводом, Gulp - это просто инструмент для сборки, я не понимаю, как на это может повлиять
Низкая уязвимость типа Prototype Pollution для модуля lodash . Я не могу сказать наверняка, но это может повлиять на вас, если вы загрузите в сборку несколько неизвестных внешних модулей, иначе все будет в порядке.

В любом случае, обновление до Gulp 4 должно снять все сомнения.

Безопасно ли использовать GulpJS 3.9.1 в локальной сети?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Безопасно ли использовать GulpJS 3.9.1 в локальной сети?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы