間接的な脆弱性の謎を解く-依存関係ツリーを壊すことなく間接的な脆弱性を修正する from thehackernews.com
security summary
これは、間接的な依存関係の場合、公園を散歩することではありません。
幸い、`minimist`のメンテナはバージョン1.2.6でこれらの脆弱性を修正しました。
この方法では、ルートの依存関係を実際には更新せず、間接的な依存関係のみを更新するため、変更が破損するリスクは非常に低くなります。
しかし、人生は必ずしもこれほど簡単ではなく、ツリーのこの単純な更新は脆弱性を解決しません。
これにより、依存関係ツリーを壊すことなく、安全なバージョンの「ミニミスト」になります。
これは、互換性のあるツリーが常に存在することを確認するために、1つの依存関係の複数のバージョンを持つことができることを意味します。
コメント