Я участвую в проекте с открытым исходным кодом, который в настоящее время использует фантом. js в качестве зависимости разработчика. npm audit показывает, что фантом. js имеет 13 уязвимостей, и некоторые цепочки зависимостей довольно длинные:
Moderate Prototype Pollution
Package hoek
Patched in > 4.2.0 < 5.0.0 || >= 5.0.3
Dependency of phantomjs [dev]
Path phantomjs > request > hawk > sntp > hoek
More info https://npmjs.com/advisories/566
Я думаю предложить несколько обновлений для фантома js и нижележащих пакетов, но информация, предоставленная npm аудитом, не очень полезна:
- они предполагают, что
hoek 5.0.3 или более поздние версии были бы хорошими, - , но они не показывают, какую версию
sntp используется, - и, если есть более поздняя версия
sntp, которая использует безопасную версию hoek, - и то же самое для
hawk и request
Может быть так, что обновление request до более новой версии сразу исправит уязвимость фантома js, не предлагая обновлений hawk, sntp или hoek, но это звучит как много ручной работы. Существуют ли какие-либо инструменты, помогающие найти кратчайший способ устранения обнаруженной уязвимости?
(я понимаю, что слепое обновление может фактически привести к появлению новых ошибок / других уязвимостей, но, по крайней мере, мы можем получить предложение о том, как действовать)