Я новичок в Gulp, и мне трудно читать файл gulpfile.js.
Вот мой devDependencies в package.json:
"devDependencies": {
...
"gulp-cssnano": "^2.1.3",
...
},
Зависимость gulp-cssnano содержит 2 уязвимости (которые я не могу исправить):
=== npm audit security report ===
Manual Review
Some vulnerabilities require your attention to resolve
Visit https://go.npm.me/audit-guide for additional guidance
Moderate Denial of Service
Package js-yaml
Patched in >=3.13.0
Dependency of gulp-cssnano [dev]
Path gulp-cssnano > cssnano > postcss-svgo > svgo > js-yaml
More info https://npmjs.com/advisories/788
High Code Injection
Package js-yaml
Patched in >=3.13.1
Dependency of gulp-cssnano [dev]
Path gulp-cssnano > cssnano > postcss-svgo > svgo > js-yaml
More info https://npmjs.com/advisories/813
found 2 vulnerabilities (1 moderate, 1 high) in 16904 scanned packages
2 vulnerabilities require manual review. See the full report for details.
Вот мой gulpfile.js файл:
//
// Gulpfile
//
"use strict";
...
const cssnano = require('gulp-cssnano');
...
//
// CSS minifier - merges and minifies the below given list of Space libraries into one theme.min.css
//
function minCSS() {
return gulp
.src([
'./assets/css/theme.css',
])
.pipe(cssnano())
.pipe(rename({suffix: '.min'}))
.pipe(gulp.dest('./dist/assets/css/'));
}
Я не буду использовать папку node_modules 'в производственной среде, но папка dist, сгенерированная gulpfile.js.
Будет ли папка dist содержать уязвимости связанных уязвимостей в devDependencies, потому что я вижу const cssnano = require('gulp-cssnano') и .pipe(cssnano()) в gulpfile.js, который генерирует dist folder с помощью команды gulp dist?