Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

fix(deps-dev): #121 minimist 脆弱性対応 GHSA-7fhm-mqm4-2wp7 #122

Merged
merged 12 commits into from Mar 20, 2020

Conversation

KEINOS
Copy link
Member

@KEINOS KEINOS commented Mar 19, 2020

下記、本家の PR で言及されたように、パッケージとロックファイルをアップデートしただけです。

Please note that mkdirp@0.5.3 has now been released (see here). Since ESLint's package.json has the range ^0.5.1, folks just need to update their lockfiles.

dependabot-preview bot and others added 12 commits March 19, 2020 06:07
Bumps [acorn](https://github.com/acornjs/acorn) from 7.1.0 to 7.1.1. **This update includes a security fix.**
- [Release notes](https://github.com/acornjs/acorn/releases)
- [Commits](acornjs/acorn@7.1.0...7.1.1)

Signed-off-by: dependabot-preview[bot] <support@dependabot.com>
Bumps [eslint-plugin-jsdoc](https://github.com/gajus/eslint-plugin-jsdoc) from 20.3.1 to 22.1.0.
- [Release notes](https://github.com/gajus/eslint-plugin-jsdoc/releases)
- [Commits](gajus/eslint-plugin-jsdoc@v20.3.1...v22.1.0)

Signed-off-by: dependabot-preview[bot] <support@dependabot.com>
Bumps [ava](https://github.com/avajs/ava) from 2.4.0 to 3.5.0.
- [Release notes](https://github.com/avajs/ava/releases)
- [Commits](avajs/ava@v2.4.0...v3.5.0)

Signed-off-by: dependabot-preview[bot] <support@dependabot.com>
@yumetodo
Copy link
Contributor

これ、ほんとにmkdirpの依存のminimistをメジャーアップデートして安全なんかなぁ・・・。

@KEINOS
Copy link
Member Author

KEINOS commented Mar 19, 2020

確かにアプデしたところで、mkdirp@0.5.3レが死だヽ(`Д´)ノウワァァァン と言われます。

$ npm install
npm WARN deprecated mkdirp@0.5.3: Legacy versions of mkdirp are no longer supported. Please update to mkdirp 1.x. (Note that the API surface has changed to use Promises in 1.x.)
...

ただ、本家 ESLint 側でバックポートの PR がリジェクトされたのは、

  1. 本家が新バージョン(ESLint v7)に向けてめちゃ忙しいのでバックポートは現状受け付けていないポリシーであること
  2. そしてその旨を伝えた本家の人が「ロックファイルのアプデで大丈夫」と言ってること
  3. さらにバックポートを PR した本人も了解して取り下げたこと

以上から、とりあえずはアプデしておいていいのではないか、と。

やっぱり mkdirp を使わない ESLint v7 がいいとは思うので、とりまマージして、別途 ESLint v7-alpha を使っちゃうか、メジャー・リリースされたら、そっち(v7)に乗り換えるとかでいいんじゃないですかね。

ちなみに、この PR で minimist のバージョンは v1.2.5 になるので以下の要件は網羅するっぽい。おいどんの Fork では警告は消えました。

Affecting minimist package, versions <0.2.1 || >=1.0.0 <1.2.3
https://snyk.io/vuln/SNYK-JS-MINIMIST-559764

@yumetodo
Copy link
Contributor

isaacs/node-mkdirp@c5b97d1

ああ、なるほど、この段階でmajorは上がってるのか、そしてmkdirpの0.5.2, 0.5.3が出ていると。
https://github.com/isaacs/node-mkdirp/tree/0.x

それなら大丈夫そうですね。

@KEINOS
Copy link
Member Author

KEINOS commented Mar 19, 2020

下記デプロイのプレビューで一連の動作確認しました。明日にでもマージしまーす。 Netlify べんりー

@KEINOS KEINOS merged commit 4c936b7 into Qithub-BOT:master Mar 20, 2020
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
None yet
Projects
None yet
Development

Successfully merging this pull request may close these issues.

None yet

2 participants