Drupal 依赖风险检查

【问题标题】:Drupal dependency vurenabilities checkDrupal 依赖风险检查
【发布时间】:2021-08-08 16:09:33
【问题描述】:

我正在使用 Drupal 8.9.15(带有 composer 和 Docker)。 问题是 vurenabilities 依赖检查工具检测到大约 200 个问题,其中大部分是与 Drupal 相关的,其中大部分是 Drupal 使用的 jqueryui,例如:

/web/core/assets/vendor/jquery.ui/node_modules/grunt-html/vnu.jar/META-INF/maven/commons-fileupload/commons-fileupload/pom.xml

/web/core/assets/vendor/jquery.ui/node_modules/babel-core/node_modules/lodash/package.json

/web/core/node_modules/ftp/package.json

如果 Drupal 是安全的 CMS,为什么会发生这种情况? 有没有可能以某种方式修复它?我看到包正在自动下载到drupal核心目录中的node_modules。

【问题讨论】:

  • 这对于 Drupal 社区来说似乎是一个很好的问题。顺便说一句,是什么让您认为“Drupal 是安全的 CMS”?这种节点包并不总是最新的,这很常见

标签: php security drupal composer-php drupal-8


【解决方案1】:

不幸的是,这是建议升级到 Drupal 9 的部分原因(相信我,路径比从 7 -> 8 好得多)。

Drupal 社区知道 jQuery UI 不再受支持as mentioned in this change record。推荐的做法是升级到 Drupal 9。

回答您的问题,“如果 Drupal 是安全的 CMS,为什么会发生这种情况?”好吧,它尽可能安全,并且最终用户允许它尽可能安全。 Drupal 8 发布时,仍然支持 jQuery UI。现在 Drupal 9 发布了,jQuery UI 不再是核心的一部分。

如果您升级到 Drupal 9,jQuery UI 的安全问题将不再是问题。

现在,这仅适用于 Drupal Core。可能仍然有一些使用 jQuery UI 元素的 contrib 模块,但这不是核心维护者需要注意的责任。但是,正如变更记录中所列,他们提到了一些仍然使用这些资产的贡献模块。

【讨论】:

    猜你喜欢
    • 2017-08-15
    • 2023-03-29
    • 2011-06-09
    • 1970-01-01
    • 2011-01-09
    • 2013-10-05
    • 1970-01-01
    • 1970-01-01
    • 2016-03-23
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode