Ошибки аудита зависимостей Npm с обновлением cloud-s4-sdk-pipe помимо актуальных версий зависимостей

Question

Мы перешли на последнюю версию (21) cloud-s4-sdk-pipe. Новые функции работают, но мы получаем ошибки npm , кроме актуальных версий зависимостей.

Краткое изложение результатов

•  High Arbitrary File Overwrite vulnerability found in dependency "tar", see https://npmjs.com/advisories/803 for details.
•  High Code Injection vulnerability found in dependency "js-yaml", see https://npmjs.com/advisories/813 for details.
•  Moderate Regular Expression Denial of Service vulnerability found in dependency "mime", see https://npmjs.com/advisories/535 for details.
•  Moderate Regular Expression Denial of Service vulnerability found in dependency "underscore.string", see https://npmjs.com/advisories/745 for details.
•  Moderate Prototype Pollution vulnerability found in dependency "lodash", see https://npmjs.com/advisories/782 for details.
•  Moderate Denial of Service vulnerability found in dependency "js-yaml", see https://npmjs.com/advisories/788 for details.

Была ли у вас похожая проблема? Есть ли решение доступно?

Answer 1

Одним из основных изменений с v20 на v21 стало то, что мы теперь проверяем все файлы package.json, которые мы можем найти в вашем проекте (то же самое для сканирования белых источников).

Я предполагаю, что это так в вашем проекте, и поэтому появляются новые результаты аудита.

Я бы порекомендовал вам локально выполнить npm audit --fix в каталоге вашего package.json и зафиксировать полученный package-lock.json. Если это также не решит вашу проблему, последнее решение было бы пометить эти проблемы аудита npm как «проверенные» в pipe_config.yaml, как описано здесь