【发布时间】:2018-11-20 23:19:30
【问题描述】:
我可能有点落后,但我昨天刚刚升级了 NPM,现在我遇到了各种与模块依赖相关的漏洞,例如原型污染、内存暴露和正则表达式拒绝服务。
我使用这些包的目的只是使用 gulp 或 webpack 等构建过程来编译、重命名、“丑化”和压缩我的资产。
所以,我想我想知道修复这些漏洞有多重要,或者它们与我的流程有多相关,因为它们仅用于本地构建我的资产(scss -> css、babel 和图像压缩)。
我的预感是,虽然您总是想谨慎起见出错,因为它们没有在节点服务器或任何实时进程、用户输入等上使用......它可能不像我那么重要原本以为。我走远了吗?
【问题讨论】:
-
只要您控制构建过程的输入文件并且您可以信任它们,您的情况应该没问题,
标签: node.js security npm webpack gulp