chore(deps): bump acorn from 7.1.0 to 7.1.1

[dependabot]

Bumps acorn from 7.1.0 to 7.1.1.

Commits

• 6d19489 Mark release 7.1.1
• 793c0e5 More rigorously check surrogate pairs in regexp validator
• b5c1787 Fix incorrect comment in regexp parser
• 12ae8fe Parameterize dummy value and export isDummy
• fa3ad8c Further refine acorn-walk types
• 1d50286 Fix some errors in walk types
• 97801f0 Mark acorn-walk 7.1.1
• e9372c1 Further clean up walker types
• de6edeb Remove NarrowNode from walk.d.ts
• 1d85e7c Fix: acorn-walk type work with acorn's
• Additional commits viewable in compare view

Dependabot will resolve any conflicts with this PR as long as you don't alter it yourself. You can also trigger a rebase manually by commenting @dependabot rebase.

---

Dependabot commands and options

You can trigger Dependabot actions by commenting on this PR:

• @dependabot rebase will rebase this PR
• @dependabot recreate will recreate this PR, overwriting any edits that have been made to it
• @dependabot merge will merge this PR after your CI passes on it
• @dependabot squash and merge will squash and merge this PR after your CI passes on it
• @dependabot cancel merge will cancel a previously requested merge and block automerging
• @dependabot reopen will reopen this PR if it is closed
• @dependabot close will close this PR and stop Dependabot recreating it. You can achieve the same result by closing it manually
• @dependabot ignore this major version will close this PR and stop Dependabot creating any more for this major version (unless you reopen the PR or upgrade to it yourself)
• @dependabot ignore this minor version will close this PR and stop Dependabot creating any more for this minor version (unless you reopen the PR or upgrade to it yourself)
• @dependabot ignore this dependency will close this PR and stop Dependabot creating any more for this dependency (unless you reopen the PR or upgrade to it yourself)
• @dependabot use these labels will set the current labels as the default for future PRs for this repo and language
• @dependabot use these reviewers will set the current reviewers as the default for future PRs for this repo and language
• @dependabot use these assignees will set the current assignees as the default for future PRs for this repo and language
• @dependabot use this milestone will set the current milestone as the default for future PRs for this repo and language

You can disable automated security fix PRs for this repo from the Security Alerts page.

[KEINOS]

以下のデプロイ・プレビューで一通り動きを試して問題は見当たりませんでした。
LGTM なので今日の夜あたりにマージしちゃいますね。

• https://deploy-preview-120--zen-edison-40804e.netlify.com/
• サンプル
  • https://deploy-preview-120--zen-edison-40804e.netlify.com/p.html?i=https://qiitadon.com&t=66k9l_3mx6iwm,66k9l_48gv7y6,66k9m_2k204li

[KEINOS]

別途、下記 minimist のセキュリティ・アラートも出てますが、この PR をマージしてから対応したいと思います。（minimist が何なのかわかってない）

"dependencies": {
-  "minimist": "0.0.8"
+  "minimist": ">=1.2.2"
}

[yumetodo]

minimist の自動パッチはつくられないと見たほうがいいです。ESLintからきていると思うんですが、かなり依存が深くて自動では解決されないでしょう。現にここ数日私のGitrhubの通知欄はこれのせいで埋め尽くされています。
これはマージして、その後で自力で頑張って修正を試みるべきです。

[KEINOS]

minimist
かなり依存が深くて自動では解決されないでしょう。
これはマージして、その後で自力で頑張って修正を試みるべきです。

おっしゃる通り minimist の修正パッチは、やっぱち自動で作られまちぇんでちた。とりまーじります。

[KEINOS]

F.Y.I.

なんか ESLint が使っている mkdirp パッケージが minimist に依存しているそうです。

• Remove minimist dependency via mkdirp (vulnerability CVE-2020-7598) #13050 | issues | ESLint @ GitHub

ESLint 本家の Issue は close されてませんが、依存先の mkdirp は修正済みのようなので package-lock.json を更新すれば直るらしい。

[yumetodo]

eslint v7系でmkdirpを使わなくなるので、
eslint/eslint#12753
それまで無視しませんか？自分の他のプロジェクトはそうしました。
ちなみにそれをbackportするPRは
eslint/eslint#13051
Rejectされました。backportなんて概念ないよってなんでや。

[KEINOS]

同じ HSA-7fhm-mqm4-2wp7 案件ですが、PR 内容が違うので minimist 対応について Issue を立てました。

• Issue [要脆弱性対応] minimist GHSA-7fhm-mqm4-2wp7 #121 [要脆弱性対応] minimist GHSA-7fhm-mqm4-2wp7